Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5475 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Decrypt & Scan - Cheap Certificates from a CA?

quasi51
Hello,

I'm helping some families setup filtering boxes using the 50 user home license and I'm wondering if there is a more user-friendly way of handling full SSL scanning.  I can import the certificate Sophos generates into the browser (Firefox) and it works reasonably well but certain sites still don't like that they are being intercepted by a self-generated certificate.  Just as an example, Google requires users to fill CAPTCHAs almost constantly in order to do basic searches.

StartSSL offers free level 1 certificates and NameCheap offers something similar from Comodo for about $10.  Since these certificates would be generated by CAs that Google trusts, I assume some of these annoyances would disappear.  

Has anyone attempted something like this?  Are there other solutions to this problem that I am overlooking?  

Alternatively, scanning the URL of SSL enabled sites is an option but I'm wary of the effectiveness of this.  Can anyone comment on how thorough this is in comparison to properly configured deep SSL scanning?

Thanks for any help!


This thread was automatically locked due to age.
Parents
  • 0
    You should not be getting captchas from Google.

    In general you need to install the certificate authority for every browser, in general this means both IE and FF (Chrome uses IE's settings).  There are multiple ways of doing this.

    The simplest for a few computers is to enable the End User Portal (Management, User Portal).  Then on the End computer visit the UTM (on port 443).  Log in and then there is a tab where you can download and install the CA.

    Note that when installing on IE you must Select the certificate store and then place it in the Trusted Root Signing Authorities.


    No, getting a purchased Certificate will not help you.  The UTM needs to be a Certificate Authority - not just have a certificate.  The browser must trust that the UTM can create certificates.

    As for URL scanning, it basically will do categorization of the URL and block you from going to categories (or blacklisted) you have selected to block.  It does not do any AV scanning, file type or mime blocking, etc.  Basically its a check on CONNECT only and does not scan any traffic once you are on the site.
Reply
  • 0
    You should not be getting captchas from Google.

    In general you need to install the certificate authority for every browser, in general this means both IE and FF (Chrome uses IE's settings).  There are multiple ways of doing this.

    The simplest for a few computers is to enable the End User Portal (Management, User Portal).  Then on the End computer visit the UTM (on port 443).  Log in and then there is a tab where you can download and install the CA.

    Note that when installing on IE you must Select the certificate store and then place it in the Trusted Root Signing Authorities.


    No, getting a purchased Certificate will not help you.  The UTM needs to be a Certificate Authority - not just have a certificate.  The browser must trust that the UTM can create certificates.

    As for URL scanning, it basically will do categorization of the URL and block you from going to categories (or blacklisted) you have selected to block.  It does not do any AV scanning, file type or mime blocking, etc.  Basically its a check on CONNECT only and does not scan any traffic once you are on the site.
Children