Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5473 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Decrypt & Scan - Cheap Certificates from a CA?

quasi51
Hello,

I'm helping some families setup filtering boxes using the 50 user home license and I'm wondering if there is a more user-friendly way of handling full SSL scanning.  I can import the certificate Sophos generates into the browser (Firefox) and it works reasonably well but certain sites still don't like that they are being intercepted by a self-generated certificate.  Just as an example, Google requires users to fill CAPTCHAs almost constantly in order to do basic searches.

StartSSL offers free level 1 certificates and NameCheap offers something similar from Comodo for about $10.  Since these certificates would be generated by CAs that Google trusts, I assume some of these annoyances would disappear.  

Has anyone attempted something like this?  Are there other solutions to this problem that I am overlooking?  

Alternatively, scanning the URL of SSL enabled sites is an option but I'm wary of the effectiveness of this.  Can anyone comment on how thorough this is in comparison to properly configured deep SSL scanning?

Thanks for any help!


This thread was automatically locked due to age.
  • 0
    You should not be getting captchas from Google.

    In general you need to install the certificate authority for every browser, in general this means both IE and FF (Chrome uses IE's settings).  There are multiple ways of doing this.

    The simplest for a few computers is to enable the End User Portal (Management, User Portal).  Then on the End computer visit the UTM (on port 443).  Log in and then there is a tab where you can download and install the CA.

    Note that when installing on IE you must Select the certificate store and then place it in the Trusted Root Signing Authorities.


    No, getting a purchased Certificate will not help you.  The UTM needs to be a Certificate Authority - not just have a certificate.  The browser must trust that the UTM can create certificates.

    As for URL scanning, it basically will do categorization of the URL and block you from going to categories (or blacklisted) you have selected to block.  It does not do any AV scanning, file type or mime blocking, etc.  Basically its a check on CONNECT only and does not scan any traffic once you are on the site.
  • 0 in reply to Michael Dunn
    Thanks for the response Michael.  I'll work through all the browsers and make sure the certificate is installed properly.  I'll report back if I have any more trouble.
  • 0 in reply to quasi51
    Google usually asks for a Captcha if it supposes, you are a Machine and not a human. I guess, that behaviour should not have anything to do with your certificate. 

    I'm curious if it will help to import the certificate properly... I don't think so.
  • 0
    OK, back again.  I'm wondering if I'm doing something more basic wrong with the initial setup of the UTM such that the certificates aren't valid.  If I turn on the End User Portal and login as Admin I don't even get the option to download certificates.  All I see is "Welcome", "Change Password", and "Logout".  

    The CAPTCHA issue is secondary at this point.  I see two different spots from within Webadmin to download certificates.  First under "Management/Webadmin Settings/HTTPS Certificates" and second under "Web Protection/Filtering Options/HTTPS CAs".  I download both of these and import them as trusted root CAs and all the browsers complain about invalid certificates either when I am logging in the UTM or when I turn on SSL Decryption and try to visit google.com.  

    What is the significance of hostnames in relation to the generated certificates?  When I try to reach the Webportal in Firefox the error it throws is strange.  It says...

    192.168.1.1:4444 uses an invalid security certificate. 
    The certificate is only valid for 192.168.1.1:4444 
    (Error code: ssl_error_bad_cert_domain)

    What should my hostname be in a home user setting?  The IP address of the UTM?  

    Thanks again for any help
  • 0
    You may get better results by installing the firewalls CA certificate into WIndows own certificate store.
    - First export your firewall's CA Certificate from the Astaro (Sophos UTM). You'll find the facility to do this in Web Protection --> Filter options --> HTTPS CAs
    - Then from the user's computer, type MMC in the start box
    - Run the MMC with administrator privileges and from its File menu choose "Add/Remove snap-in" You should find certificates is an option on the left-hand side of the dialogue that pops up.
    - Select "Certifcates" and press the "add" button
    - Choose "computer account" then hit "Finish" & "OK"
    - Expand the certificates tree in the left pane
    - Right click on "Trusted Root Authorities" and select "All Tasks" and then "Import"
    - Now browse to the Firewall's Ca Certificate and import it. You will be asked to which store it should be imported make sure you keep Trusted root authorites selected.

    Doing it this way means that Windows itself trusts your firewall and that means all of your applications will trust the firewall to decrypt, scan and then re-encrypt traffic. There is one caveat though: some software will have their own independent store of trusted Certificate Authorities e.g. Firefox. With these ones you will still need to manually import the CA to their store. Nothing's perfect eh?!

    Hope this helps.

    JB
  • 0
    It might be a good idea to clean the slate and start fresh.  On your browsers in your test machines, go to the certificate stores (seperate for IE and FF) and remove all certificates that have been added that look like they come from the UTM.

    On the UTM, make sure that you have a FQDN defined as your hostname.  Go to the tab HTPPS CA and click Regenerate.

    In Management, User Portal, Advanced, make sure there are no Portal Items that are disabled.
    When you log into the Portal there should be a "Web Filtering" tab.

    If not...
    IE:
    Under HTTPS CAs
    Download as PKCS#12 and put a simple password on it
    Open the .p12 file, which should launch the Cert Import Wizard
    Put in the password, place all certificates in the following store, "Trusted Root Certification Authorities"

    FF:
    Under HTTPS CAs
    Download as PEM.
    Trust the CA to identify websites.


    Please note that this will only handle the certificates that HTTPS scanning when browsing through the UTM.  This will not handle certificates involved with WebAdmin of the UTM.
  • 0
    Thanks for the responses.  One more item for clarification...can you give me an example of a fully qualified domain name in a home user setting?  If for instance, my UTM is located at 192.168.1.1 on my internal network with an external IP in the 208.***.***.*** range, what would I put for my hostname?  There is no publicly resolvable domain in my cases...
  • 0 in reply to quasi51
    Thanks for the responses.  One more item for clarification...can you give me an example of a fully qualified domain name in a home user setting?  If for instance, my UTM is located at 192.168.1.1 on my internal network with an external IP in the 208.***.***.*** range, what would I put for my hostname?  There is no publicly resolvable domain in my cases...


    You could set-up a dynamic DNS account with someone like NO-IP which would give you a domain name that would always point to your current external IP address.

    JB
  • 0
    I third [;)] the comments from Michael and JB.  See The Zeroeth Rule in Rulz.

    In addition, you'll be much happier if you put your modem into bridge mode so that you can have a public IP on your UTM.

    Cheers - Bob
  • 0
    I know very little about home usage...  Assume for a moment that someone has just an ADSL modem and a few computers using Windows NETBIOS (not DNS).  If they were putting in a home UTM, is the best thing to buy yourself a domain name, switch all computers over to DNS (hosted by UTM) and act like a company would?