Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3095 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Scanning BYOD with Public Certificate

PabloDiablo
Hi,
I searched the forum but I didn't find a satisfying solution what I want to accomplish.
I want that all HTTPS traffic to be scanned for malware & malicious sites without to store the the signing certificate be put in the Trusted CA Store of the clients.
The clients are PC's and mobile devices.
The Web Proxy is running in Transparent Mode and I uploaded my (wildcard) SSL Certificate at "Signing CA" in Filter Options.
When a device (PC/mobile device) is going to https://google.com, I get the warning that the certificate is not trusted. When I look at the certificate, I see at that the issuer is my domain's wildcard. Why is it not trusted? This certificate is from an official CA.

Is it even possible to do HTTPS scanning for all devices without storing the CA locally?
For PC's it's not so difficult but for mobile devices and BYOD's it's hard...


This thread was automatically locked due to age.
Parents
  • 0
    Not possible.

    HTTPS is built to make it so no one can do a Man-in-the-middle attack without the end user knowing.

    HTTPS scanning means you are doing man-in-the-middle.

    You cannot intercept, scan, and log "secure" traffic without user intervention.

    If HTTPS scanning is important, the best thing you can do is warn people they'll have to accept the browser warnings or install the certificate and put the cert in a very easy to get to location (eg mycompany.com/ca.crt).

    The other alternative (maybe not a great one) is to use the Selective HTTPS Scanning to turn off scanning for major website that you trust (google, facebook) while leaving it on for the rest of the internet.
Reply
  • 0
    Not possible.

    HTTPS is built to make it so no one can do a Man-in-the-middle attack without the end user knowing.

    HTTPS scanning means you are doing man-in-the-middle.

    You cannot intercept, scan, and log "secure" traffic without user intervention.

    If HTTPS scanning is important, the best thing you can do is warn people they'll have to accept the browser warnings or install the certificate and put the cert in a very easy to get to location (eg mycompany.com/ca.crt).

    The other alternative (maybe not a great one) is to use the Selective HTTPS Scanning to turn off scanning for major website that you trust (google, facebook) while leaving it on for the rest of the internet.
Children