Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5475 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Decrypt & Scan - Cheap Certificates from a CA?

quasi51
Hello,

I'm helping some families setup filtering boxes using the 50 user home license and I'm wondering if there is a more user-friendly way of handling full SSL scanning.  I can import the certificate Sophos generates into the browser (Firefox) and it works reasonably well but certain sites still don't like that they are being intercepted by a self-generated certificate.  Just as an example, Google requires users to fill CAPTCHAs almost constantly in order to do basic searches.

StartSSL offers free level 1 certificates and NameCheap offers something similar from Comodo for about $10.  Since these certificates would be generated by CAs that Google trusts, I assume some of these annoyances would disappear.  

Has anyone attempted something like this?  Are there other solutions to this problem that I am overlooking?  

Alternatively, scanning the URL of SSL enabled sites is an option but I'm wary of the effectiveness of this.  Can anyone comment on how thorough this is in comparison to properly configured deep SSL scanning?

Thanks for any help!


This thread was automatically locked due to age.
Parents
  • 0
    You may get better results by installing the firewalls CA certificate into WIndows own certificate store.
    - First export your firewall's CA Certificate from the Astaro (Sophos UTM). You'll find the facility to do this in Web Protection --> Filter options --> HTTPS CAs
    - Then from the user's computer, type MMC in the start box
    - Run the MMC with administrator privileges and from its File menu choose "Add/Remove snap-in" You should find certificates is an option on the left-hand side of the dialogue that pops up.
    - Select "Certifcates" and press the "add" button
    - Choose "computer account" then hit "Finish" & "OK"
    - Expand the certificates tree in the left pane
    - Right click on "Trusted Root Authorities" and select "All Tasks" and then "Import"
    - Now browse to the Firewall's Ca Certificate and import it. You will be asked to which store it should be imported make sure you keep Trusted root authorites selected.

    Doing it this way means that Windows itself trusts your firewall and that means all of your applications will trust the firewall to decrypt, scan and then re-encrypt traffic. There is one caveat though: some software will have their own independent store of trusted Certificate Authorities e.g. Firefox. With these ones you will still need to manually import the CA to their store. Nothing's perfect eh?!

    Hope this helps.

    JB
Reply
  • 0
    You may get better results by installing the firewalls CA certificate into WIndows own certificate store.
    - First export your firewall's CA Certificate from the Astaro (Sophos UTM). You'll find the facility to do this in Web Protection --> Filter options --> HTTPS CAs
    - Then from the user's computer, type MMC in the start box
    - Run the MMC with administrator privileges and from its File menu choose "Add/Remove snap-in" You should find certificates is an option on the left-hand side of the dialogue that pops up.
    - Select "Certifcates" and press the "add" button
    - Choose "computer account" then hit "Finish" & "OK"
    - Expand the certificates tree in the left pane
    - Right click on "Trusted Root Authorities" and select "All Tasks" and then "Import"
    - Now browse to the Firewall's Ca Certificate and import it. You will be asked to which store it should be imported make sure you keep Trusted root authorites selected.

    Doing it this way means that Windows itself trusts your firewall and that means all of your applications will trust the firewall to decrypt, scan and then re-encrypt traffic. There is one caveat though: some software will have their own independent store of trusted Certificate Authorities e.g. Firefox. With these ones you will still need to manually import the CA to their store. Nothing's perfect eh?!

    Hope this helps.

    JB
Children
No Data