مشكلة

حظر Cato الوصول إلى موقع يستخدم شهادة CA غير موثوقة أو شهادة موقعة ذاتيًا على الرغم من تعطيل فحص TLS

البيئة

• تعطيل فحص TLS
• قاعدة جدار الحماية مع الإجراء الفوري أو الحظر

حل المشكلات

• ينبغي أن يؤدي الحظر إلى توليد حدث فرعي من نوع TLS مما قد يضلل المستخدمين للتفكير في أن فحص TLS هو من يحظر الحركة، حتى لو كان معطلًا.

• بالشكل المصمم، عندما لا يتم تمكين فحص TLS، لن يتم فحص طلبات HTTPS حتى إذا كان الموقع يستخدم شهادة غير موثوقة، لا يتم تنفيذ أي إجراءات.
• ومع ذلك، عندما تتطابق الحركة مع قاعدة جدار الحماية التي تحتوي على الإجراء الفوري أو الحظر كرابط للإجراء، ستؤدي ذلك إلى تنشيط TLSi، حتى لو لم يكن مُمكّنًا. هذا لأنه لإدخال صفحة الفورية/الحظر في الحمولة، يجب حدوث TLSi. إذا اكتشف شهادة غير موثوقة أو موقعة ذاتيًا، فإن الخوارزمية لدينا هي حظر هذه الصفحة حتى لو لم تكن TLSi مُمكّنة في البداية، لأن ذلك يمثل خطر أمني محتمل.
• السلوك أعلاه سينعكس في الحدث مع فحص TLS = 1
  
• إذا تم تثبيت شهادة Cato على جهاز الكمبيوتر الخاص بالعميل، يحصل المستخدم على صفحة الفورية ولكن بعد ذلك سيحصل على خطأ 'شهادة SSL/TLS غير صالحة' مما يثبت النقطة السابقة.