Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 40101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Best way to avoid certificate error?

alexxdavid
Hi Guys,

What is the best way to avoid Certificate error when using Web Filtering and accessing https website?

Currently using transparent mode (no authentication for windows and SSO for IOS) when SSO was activated for windows, I was also getting errors regarding passthrough.fw-notify.net.

Can this be fixed by uploading a public certificate? Shouldn't it resolve to the fqdn of the UTM instead?


This thread was automatically locked due to age.
Parents
  • 0
    Standard proxy can authenticate HTTPS requests without any problems, so it behaves differently.

    You can enable full SSL scanning without doing anything else.  Clients will complain about certificate errors unless you push the Certificate Authority as well.



    I know that its a complex system and not everything works as smoothly as we would like.  The reasons are twofold:

    1) HTTPS is all about creating a secure connection between a client and a website.  If a proxy wants to spy/block/scan that connection we are inherently breaking the user's belief that the connection is secure.  We cannot do that without the browser warning the user.

    2) In transparent mode the browser thinks it is connecting to the destination website with no proxy in between.  This limits what the proxy can do with authentication because the browser does not except to have to do authentication.
Reply
  • 0
    Standard proxy can authenticate HTTPS requests without any problems, so it behaves differently.

    You can enable full SSL scanning without doing anything else.  Clients will complain about certificate errors unless you push the Certificate Authority as well.



    I know that its a complex system and not everything works as smoothly as we would like.  The reasons are twofold:

    1) HTTPS is all about creating a secure connection between a client and a website.  If a proxy wants to spy/block/scan that connection we are inherently breaking the user's belief that the connection is secure.  We cannot do that without the browser warning the user.

    2) In transparent mode the browser thinks it is connecting to the destination website with no proxy in between.  This limits what the proxy can do with authentication because the browser does not except to have to do authentication.
Children
No Data