Sophos Firewall Anleitung: Probleme & Fehler von Webfilter, SSL‑Inspection & Zertifikaten beheben

In den Kategorien: Anleitungen Rss feed , Sophos Firewall/UTM Rss feed Sophos Firewall Anleitung: Probleme & Fehler von Webfilter, SSL‑Inspection & Zertifikaten beheben

Sophos Firewall: Probleme mit Webfilter & SSL Inspection

In einigen Sophos Firewall Umgebungen treten wiederkehrende Fehlerbilder im Zusammenhang mit dem Webfilter, der SSL Inspection sowie HTTPS-Scanning auf. Häufig erscheinen im Browser Meldungen wie „Zertifikat nicht vertrauenswürdig“ oder „Verbindung ist nicht privat“, Websites werden scheinbar ohne erkennbaren Grund geblockt oder Anwendungen können keine sichere Verbindung mehr aufbauen.

Die Ursachen liegen meist in der Kombination aus aktivem HTTPS-Scanning, verwendeten Zertifikaten, Webfilter-Profilen und Anwendungen, die neu signierte TLS-Verbindungen nicht akzeptieren. Dieser Leitfaden fasst typische Fehlerbilder zusammen und bietet kompakte Prüfpunkte für die Analyse in Sophos Firewall (SFOS) sowie konkrete Maßnahmen zur Behebung.

Im Mittelpunkt dieses Artikels stehen praxisrelevante Szenarien wie das gezielte Abschalten von HTTPS-Scanning für Tests, das Einrichten von Ausnahmen für bestimmte Domains oder die Fehlersuche bei Zertifikatswarnungen in verschiedenen Browsern. Die folgenden Abschnitte sind entlang dieser Fehlerbilder strukturiert: Zertifikatswarnungen im Browser, geblockte Websites, nicht funktionierende Anwendungen unter SSL Inspection und gezielte Bypässe für ausgewählte Dienste.

Zertifikatsfehler im Browser nach Aktivierung von HTTPS-Scanning

Bei aktiviertem HTTPS-Scanning werden HTTPS-Verbindungen durch die Sophos Firewall per SSL Inspection aufgebrochen und mit einer eigenen CA neu signiert. Ist diese CA auf den Endgeräten nicht als vertrauenswürdige Stammzertifizierungsstelle hinterlegt, führen die ersetzten Zertifikate unmittelbar zu Warnungen in Chrome, Edge oder Firefox.

Typische Symptome

  • Browser-Meldungen wie „Verbindung ist nicht privat“, „Zertifikat nicht vertrauenswürdig“ oder vergleichbare TLS-Warnungen
  • Fehler treten nur hinter der Sophos Firewall mit aktivem HTTPS-Scanning auf, nicht bei direkter Internet-Verbindung
  • Abweichende Darstellung in Firefox im Vergleich zu Chrome/Edge aufgrund unterschiedlicher Zertifikatsspeicher

Analyse und Eingrenzung

  • Vergleich eines betroffenen Clients mit einer Testverbindung ohne SSL Inspection (z. B. über alternative Regel oder temporären Bypass)
  • Prüfung des ausstellenden Zertifikats im Browser: „Ausgestellt von“ verweist auf die SSL-CA der Sophos Firewall statt auf die ursprüngliche Public-CA
  • Abgleich der verwendeten SSL-CA in der Sophos Firewall mit den vertrauenswürdigen Stammzertifikaten im Betriebssystem und gegebenenfalls im Browser
  • Kontrolle von Ablaufdatum und Seriennummer der eingesetzten CA, insbesondere nach Neugenerierung in SFOS

Konkrete Maßnahmen in Sophos Firewall und am Client

  1. In der Sophos Firewall unter Certificates > Certificate authorities die für SSL Inspection verwendete CA identifizieren.
  2. CA-Zertifikat exportieren und im Betriebssystem als vertrauenswürdige Stammzertifizierungsstelle importieren (z. B. per Gruppenrichtlinie, MDM oder Softwareverteilung).
  3. Bei Firefox den eigenen Zertifikatsspeicher prüfen und die CA zusätzlich importieren, falls nicht der Zertifikatsspeicher des Betriebssystems genutzt wird.
  4. Nach der Verteilung der CA Browser und Anwendungen neu starten und Testaufrufe durchführen, um verbleibende Zertifikatswarnungen zu verifizieren.

Screenshot zweier Sophos Firewall Blockseiten im Browser, wenn eine Website durch den Webfilter gesperrt wird

Website wird von Sophos Firewall geblockt: Blockseite oder TLS-Fehler?

Bei Meldungen wie „Website wird von Sophos geblockt“ liegt die Ursache häufig in der Kombination aus Webfilter-Regeln, SSL Inspection und Zertifikatsprüfung. Zunächst ist zu unterscheiden, ob eine reguläre Blockseite der Sophos Firewall angezeigt wird oder ob der Verbindungsaufbau bereits auf TLS-Ebene scheitert und nur ein Browser-Fehler sichtbar ist.

Typische Symptome

  • Blockseite der Sophos Firewall mit Hinweis auf Webkategorie oder Reputation
  • Leere Seite oder Browser-Fehler ohne sichtbare Blockseite (z. B. TLS-Fehler, Zeitüberschreitung)
  • Seitenaufbau nur teilweise oder sehr langsam, einzelne Inhalte werden nicht geladen

Analyse und Eingrenzung

  • Prüfung, ob eine Sophos-Blockseite angezeigt wird oder ausschließlich eine Meldung des Browsers erscheint
  • Über Logviewer Web den Eintrag zur betroffenen Verbindung nachvollziehen (Regel, Webfilter-Richtlinie, Kategorie, Reputation, TLS-Status)
  • Kontrolle, welche Firewall-Regel den Traffic verarbeitet und welches Webfilter- sowie SSL/TLS-Inspection-Profil dort zugeordnet ist
  • Abgleich, ob die Domain eventuell in einer strengeren Policy (z. B. für Gäste oder eingeschränkte Gruppen) landet als erwartet
  • Bei Verbindungsabbrüchen ohne Blockseite: Fokus auf Zertifikatsqualität, TLS-Version und SSL Inspection legen

Konkrete Maßnahmen in Sophos Firewall

  1. Im Logviewer unter Web die betroffene Anfrage nach URL, Benutzer oder Quell-IP filtern und prüfen, welche Regel und welches Webfilter-Profil angewendet wurden.
  2. Bei klarer Blockseite aufgrund von Kategorie- oder Reputationsbewertung die Richtlinie im zugeordneten Webfilter-Profil anpassen, eine Ausnahme für die konkrete Domain definieren oder die Seite in ein weniger restriktives Profil überführen.
  3. Bei TLS-Fehlern ohne Blockseite die SSL/TLS-Inspection-Regeln prüfen und testweise eine Regel ohne Decryption für die betroffene Domain oder Zielkategorie oberhalb der allgemeinen Surf-Regel platzieren.
  4. Bei sehr langsamem oder unvollständigem Seitenaufbau Protokolle auf Timeouts und abgebrochene TLS-Handshakes analysieren und gegebenenfalls Ausnahmen für problematische Inhalte oder Content-Delivery-Domains ergänzen.
  5. Nach Anpassungen erneuten Testaufruf durchführen und im Logviewer kontrollieren, ob die gewünschte Regel greift und keine unerwartete Block- oder Drop-Entscheidung mehr ausgelöst wird.

Anwendungen funktionieren nicht mit SSL Inspection

Ein häufiges Szenario: Webzugriff im Browser ist unauffällig, aber bestimmte Anwendungen oder Cloud-Dienste brechen Verbindungen ab, sobald SSL Inspection aktiv ist. Ursache sind oft SSL-Pinning-Mechanismen oder Protokollimplementierungen, die neu signierte Zertifikate der Sophos Firewall nicht akzeptieren.

Typische Symptome

  • Desktop- oder Mobile-Apps melden Verbindungsfehler, während der Zugriff auf die zugehörige Website im Browser funktioniert
  • Login-Vorgänge schlagen ohne erkennbare Änderung der Zugangsdaten fehl
  • Downloads, Updates oder Synchronisationsprozesse brechen ab oder bleiben in einem Wartestatus hängen
  • Fehlermeldungen enthalten Hinweise auf TLS, Zertifikate, „secure channel“ oder Verbindungs-Timeouts

Analyse und Eingrenzung

  • Vergleich des Verhaltens mit und ohne SSL Inspection, zum Beispiel über eine temporäre Testregel ohne Decryption für eine definierte Quell-IP
  • Auswertung von Logviewer Web und TLS/SSL-Logs, um genutzte Ziel-Domains, Ports und Protokolle der Anwendung zu identifizieren
  • Paketcaptures auf der Sophos Firewall oder am Client, um den TLS-Handshake und Fehlermeldungen im Detail zu prüfen
  • Ermittlung, ob die Anwendung SSL-Pinning einsetzt oder explizit bestimmte Zertifikatsketten bzw. Public CAs erwartet
  • Unterscheidung, ob nur einzelne Funktionen der Anwendung betroffen sind (z. B. Update- oder Lizenzserver) oder der gesamte Dienst

Konkrete Maßnahmen in Sophos Firewall und Umgebung

  1. In den Logs und gegebenenfalls in Captures die von der Anwendung genutzten FQDNs, Domains und Zielnetze ermitteln und in geeignete FQDN- oder Host-Gruppen überführen.
  2. Unter Rules and policies eine spezifische SSL/TLS-Inspection-Regel oberhalb der allgemeinen Surf-Regel anlegen, die den Verkehr der betroffenen Anwendung anhand von Quell-IP, Benutzergruppe oder Ziel-Domains selektiert.
  3. Für diese Regel im Action-Teil „Do not decrypt“ konfigurieren, sodass der Verkehr der Anwendung nicht mehr durch SSL Inspection aufgebrochen wird.
  4. Falls erforderlich, zusätzliche Webfilter-Ausnahmen für Telemetrie-, Lizenz- oder Update-Domains der Anwendung hinterlegen, wenn diese durch Kategorie- oder Reputationsregeln blockiert werden.
  5. Nach Anpassung erneute Anmeldung und Funktionsprüfung der Anwendung durchführen und im Logviewer verifizieren, dass die spezialisierte Regel greift und keine TLS-Fehler mehr auftreten.

HTTPS-Scanning in Sophos Firewall prüfen oder gezielt deaktivieren

HTTPS-Scanning ist ein zentraler Bestandteil der Schutzwirkung der Sophos Firewall, kann in der Fehleranalyse aber selbst als Einflussfaktor ausgeschlossen oder gezielt umgangen werden. Wichtig ist eine strukturierte Vorgehensweise, damit Tests reproduzierbar bleiben und nicht unbeabsichtigt der gesamte Webschutz reduziert wird.

Einsatzszenarien für gezielte Tests ohne HTTPS-Scanning

  • Fehlerbilder treten nur hinter der Sophos Firewall auf, direkte Internet-Verbindung funktioniert ohne Auffälligkeiten
  • Zertifikatswarnungen oder TLS-Fehler verschwinden, sobald eine Regel ohne SSL Inspection verwendet wird
  • Einzelne Anwendungen oder Dienste funktionieren außerhalb des gefilterten Netzes, jedoch nicht hinter der produktiven Webfilter-Regel
  • Verdacht auf Inkompatibilität zwischen SSL Inspection und bestimmten Cloud-Diensten, Update- oder Lizenzservern

Analyse und Testaufbau

  • Identifikation der produktiven Firewall-Regel, die den betroffenen Traffic verarbeitet, inklusive zugeordnetem Webfilter-Profil und SSL/TLS-Inspection-Profil
  • Definition eines klar abgegrenzten Testbereichs, zum Beispiel eine einzelne Quell-IP, eine Test-VLAN-Zone oder eine dedizierte Benutzergruppe
  • Planung eines Soll-Ist-Vergleichs: Verhalten mit aktiver Inspection gegenüber einer temporären Testregel ohne Decryption
  • Aktiviertes Logging für die relevanten Regeln, um Unterschiede in Entscheidung, Kategorie und TLS-Status nachvollziehen zu können

Konkretes Vorgehen in Sophos Firewall

  1. Unter Rules and policies die bestehende Surf-Regel mit aktivem HTTPS-Scanning lokalisieren und die Zuordnung von Webfilter- und SSL/TLS-Profil dokumentieren.
  2. Oberhalb dieser Regel eine temporäre Testregel anlegen, die den Traffic eines definierten Test-Clients oder einer Testgruppe selektiert und ein SSL/TLS-Profil ohne Decryption verwendet.
  3. Optional ein weniger restriktives Webfilter-Profil zuweisen, um zwischen reinen HTTPS-Problemen und kategoriebasierten Blockierungen unterscheiden zu können.
  4. Während eines Testfensters Zugriffe auf betroffene Websites und Anwendungen aus dem Testbereich durchführen und das Verhalten sowie die Einträge im Logviewer Web vergleichen.
  5. Wenn HTTPS-Scanning als Ursache bestätigt wird, auf dieser Basis gezielte Ausnahmen oder spezielle Bypass-Regeln für einzelne Dienste definieren, anstatt das Scanning global zu deaktivieren.
  6. Nach Abschluss der Analyse die temporäre Testregel wieder deaktivieren oder entfernen, um den ursprünglichen Sicherheitslevel wiederherzustellen.

Ausnahmen und Bypässe für Domains in der Sophos Firewall

Bestimmte Dienste und Anwendungen reagieren sensibel auf SSL Inspection oder dürfen aus regulatorischen Gründen nicht entschlüsselt werden. Dazu zählen häufig Banking-Portale, einzelne Cloud-Anwendungen oder Services mit konsequentem SSL-Pinning. In diesen Fällen bietet sich ein gezielter Bypass an, während für den übrigen Webverkehr weiterhin HTTPS-Scanning aktiv bleibt.

Grundsätze für Ausnahmen

  • Ausnahmen so eng wie möglich definieren, vorzugsweise auf Basis konkreter Domains oder FQDNs statt breiter IP-Bereiche
  • Separate Regeln oder Profile vor den allgemeinen Surf-Regeln platzieren, damit Bypässe zuverlässig greifen
  • Logging aktiv lassen, um trotz Bypass Transparenz über die Nutzung der betroffenen Dienste zu behalten
  • Regelmäßige Überprüfung, ob Domains, Zertifikatsketten oder Zielnetze von Anwendungen angepasst wurden

Analyse und Pflege von Bypass-Regeln

  • In Logviewer Web und TLS/SSL-Logs die betroffenen Domains, FQDNs und Ziel-IP-Bereiche identifizieren
  • Unterscheidung zwischen geschäftskritischen Diensten (z. B. Banking, zentrale Cloud-Anwendungen) und weniger relevanten Zielen
  • Auswertung, ob eine Ausnahme dauerhaft erforderlich ist oder nur temporär zur Eingrenzung eines Problems dient
  • Dokumentation der eingerichteten Bypässe, um kumulierte Ausnahmen und seit längerem ungenutzte Regeln zu erkennen

Konkrete Umsetzung von SSL-Bypässen in Sophos Firewall

  1. Unter Hosts and services FQDN-Hosts oder FQDN-Gruppen für die betroffenen Domains und Dienste anlegen, basierend auf den zuvor ermittelten Einträgen aus Logs und Captures.
  2. In Rules and policies eine spezialisierte SSL/TLS-Inspection-Regel oberhalb der allgemeinen Web-Surf-Regeln erstellen, die den relevanten Verkehr anhand von Ziel-Domains, Benutzergruppen oder Netzwerksegmenten selektiert.
  3. Für diese Regel im Action-Teil „Do not decrypt“ konfigurieren, damit die betroffenen Verbindungen nicht mehr durch SSL Inspection aufgebrochen werden.
  4. Optional eine dedizierte Webfilter-Richtlinie zuweisen, um trotz Bypass weiterhin Kategorien, Downloads und Reputation kontrollieren zu können.
  5. Nach Aktivierung der Regel das Verhalten der betroffenen Dienste erneut prüfen und im Logviewer kontrollieren, ob der Verkehr erwartungsgemäß dieser Bypass-Regel zugeordnet wird.
  6. Bypässe in regelmäßigen Abständen überprüfen und konsolidieren, um die Anzahl der Ausnahmen überschaubar zu halten und neue Anforderungen abzudecken.

Lösung nicht gefunden? Firewalls24 hilft!

Viele Probleme mit Webfilter, SSL Inspection und HTTPS-Scanning lassen sich mit den beschriebenen Schritten eingrenzen und beheben. In komplexen Umgebungen bleiben jedoch manchmal Fragen offen oder es entsteht zusätzlicher Anpassungsbedarf. Der Professional Service von Firewalls24 unterstützt bei der Analyse von Sophos Firewall, bei der Optimierung von Regeln und Profilen sowie bei der Planung passender Ausnahmen. Über das Kontaktformular kann unkompliziert Kontakt zu unserem Professional Serivce aufgenommen werden.

Verwandte Beiträge

Unsere Experten beraten Sie gerne

Sie haben Fragen, benötigen Informationen oder wünschen eine individuelle Produktvorstellung? Unser Team freut sich auf Ihre Anfrage!

×