Problème

L'accès à un site avec un certificat CA non fiable ou auto-signé est bloqué par Cato même si l'inspection TLS est désactivée

Environnement

• Inspection TLS désactivée
• Règle de pare-feu avec action de demande ou de blocage

Dépannage

• Le blocage devrait générer un événement de sous-type TLS qui peut induire les utilisateurs en erreur en leur faisant penser que l'inspection TLS bloque le trafic même si elle est désactivée.

• Intentionnellement par conception, lorsque l'inspection TLS n'est pas activée, les requêtes HTTPS ne seront pas inspectées même lorsque le site en question utilise un certificat non fiable, aucune action ne sera effectuée.
• Cependant, lorsque le trafic correspond à une règle de pare-feu ayant Demande ou Blocage comme Action, cela invoquera ou déclenchera TLSi, même si ce dernier n'était pas activé. Cela est dû au fait que pour injecter la page de demande/blocage dans la charge utile, TLSi doit se produire. Si un certificat non fiable ou auto-signé est détecté, notre algorithme consiste à bloquer cette page même si TLSi n'était pas initialement activé, car c'est un risque pour la sécurité.
• Le comportement ci-dessus se reflétera dans l’événement avec l'inspection TLS = 1
  
• Si le certificat Cato est installé sur le PC du client, l'utilisateur reçoit la page de demande mais ensuite, il obtiendra une erreur de 'Certificat SSL/TLS invalide' qui prouve le point précédent.