証明書警告とブロックされたHTTPSウェブサイト

概要

Cato Networksは、TLSインスペクションが無効化されていても、HTTPSウェブサイトのブロックページを提供する中間者として機能します。 これは、ブロック済みのHTTPSウェブサイトを閲覧する際に、コンピュータやブラウザにCato証明書がインストールされていない場合、ユーザは証明書警告を目にすることがあることを意味します。

以下のスクリーンショットは、https://facebook.com がブロックされ、Cato証明書がインストールされていない場合にFirefoxが表示する警告を示しています。

解決策

証明書警告を防止するために、ユーザーのコンピュータおよび/またはブラウザにCato証明書をインストールしてください。 手順については、弊社の記事 How to Install the Cato Certificate を参照してください。

以下のスクリーンショットは、Cato証明書をインストールした後、Firefoxでhttps://facebook.com向けに表示されるブロックページを示しています。

詳細

HTTPプロトコルのウェブサイトがポリシーによってブロックされた場合、CatoはクライアントのHTTP GETメソッドに従ってHTTP 403応答でブロックページを生成することができます。

しかし、HTTPSウェブサイトがブロックされると、クライアントとサーバーの間のすべてのトラフィックが暗号化されるため、同じ方法は不可能です。

したがって、HTTPSウェブサイトのブロックページを提供するために、Catoは中間者として機能します。 CatoはTLSハンドシェイクの前にHTTPSウェブサイトがブロックされるべきであることを検出し、クライアントHelloを傍受し、クライアントとのTLSハンドシェイクを完了します。 その後、Catoは受信したGETリクエストを復号し、ブロックページを提供することができます。