Problema

El acceso a un sitio web con un certificado de CA no confiable o autofirmado es bloqueado por Cato, aunque la Inspección TLS esté desactivada

Entorno

• Inspección TLS desactivada
• Regla de firewall con acción de solicitud o bloqueo

Solución de problemas

• El bloqueo debería generar un evento de subtipo TLS que puede llevar a los usuarios a pensar que la Inspección TLS está bloqueando el tráfico aunque esté desactivada.

• Según el diseño, cuando la Inspección TLS no está habilitada, las solicitudes HTTPS no serán inspeccionadas incluso cuando el sitio web en cuestión esté usando un certificado no confiable, no se realizarán acciones.
• Sin embargo, cuando el tráfico coincide con una regla del firewall que tiene Solicitud o Bloqueo como Acción, esto invocará o activará TLSi, aunque este último no estuviera habilitado. Esto es porque para inyectar la página de solicitud/bloqueo en el payload, TLSi necesita ocurrir. Si detecta el certificado no confiable o autofirmado, nuestro algoritmo es bloquear esta página aunque TLSi no estuviera habilitado al principio, porque esto es un riesgo de seguridad potencial.
• El comportamiento anterior se reflejará en el evento con la Inspección TLS = 1
  
• Si el certificado de Cato está instalado en el PC del cliente, el usuario recibe la página de solicitud pero después obtendrá un error de 'Certificado SSL/TLS inválido' que prueba el punto anterior.