Implementing Google's Tech Note

just use the enforce safesearch in the web proxy..one click and it's done.

I've done that, it does not impact the image search.

I don't have control over all the devices (BYOD) so I can't import a cert on each or force proxy settings; that would be a support nightmare.  
The only other way I can see left is to implement the linked technote.

Am I missing something?

it works fine here either signed in or not..just tested it...no explicit images able to get through bing or google with the forced safesearch in 9.2 activated.  I am using the proxy in transparent mode.

Are you logged in with a google account that could have safe search turned on?
Are you using Chrom... or other?

Both Chrom.. and google accounts can have these things configured.

i have chrome logged into google and safesearch still applied via the firewall.  also tried it in IE.  Seems you may have a misconfiguration.

I agree with William - I don't think the tech note is needed.  In 9.2, HTTPS accesses can be blocked by the URL Filter without SSL scanning, so I would expect that things should just work as you want by checking the Google SafeSearch selection.  I haven't tried this personally.

Cheers - Bob

In order for Google SafeSearch to be applied you must have SSL scanning turned on -- even in 9.2.

SafeSearch should work equally in text searches and image searches.  The easy test is to search for the word "p o r n" and you should get a message that the search term was removed.

Thanks William, BAlfson & Michael Dunn,
Just to clarify a couple of things:
- I am running in transparent proxy mode
- I have URL filtering only selected (due to the cert issue mentioned earlier)

In order for Google SafeSearch to be applied you must have SSL scanning turned on -- even in 9.2.

Does this mean I must have "Decrypt and scan" selected in the HTTPS (SSL) traffic section of Web Filtering.Global?

My logic dictates that "decrypt and scan" would be necessary (remember I'm a noob) but that does not work unless I can put certs on each client device in order to keep the chain of trust intact.  Correct?

Michael Dune's point seems to be in conflict with William's comment:

just use the enforce safesearch in the web proxy..one click and it's done.

Too many questions in one post, I know...
Thanks again for your patients and clarity.

In 9.2 you need Decrypt and Scan.  Basically, the proxy needs to interfere with the request that are going to Google and the only way to do that is with HTTPS Decrypt and Scan.

The HTTPS URL Filter Only is a new option in 9.2, but that is only for blocking domains based on category and blacklist.

If you are running Active Directory, you can do a GPO push to put the CA on every Windows computer that is part of the domain.

Thanks Michael Dunn,
I'm not crazy [;)]

So the scenario is a church that wants to content filter, yet allow people to bring their own devices.  BTW, I'm volunteering my time to figure this out.

There is no AD in place to push out a policy, besides it's basically public access to a segmented wireless AP.  
The URL filtering works great, it's the image search that's the issue.

So given this, implementing Google's tech-note seems like a reasonable solution, yes?

Can I do the CNAME change in UTM or do I need to have an external DNS server to do this?

Thanks again