TLSインスペクションが無効化されているにもかかわらず、信頼性のないウェブサイトへのアクセスがブロックされています

問題

TLSインスペクションが無効化されていても、Catoは信頼できないCAまたは自己署名証明書を使用したウェブサイトへのアクセスをブロックします

環境

  • TLSインスペクション無効化
  • 確認やブロックのアクションを持つファイアウォールルール

トラブルシューティング

  • ブロックはTLSサブタイプイベントを生成する必要があり、TLSインスペクションが無効化されているにもかかわらず、TLSインスペクションがトラフィックをブロックしているとユーザーを誤解させる可能性があります。
  • 設計上、TLSインスペクションが有効化されていない場合、たとえウェブサイトが信頼されていない証明書を使用していても、HTTPSリクエストは検査されず、アクションは実行されません。
  • しかし、トラフィックが確認またはブロックアクションとするファイアウォールルールに一致すると、このルールが有効化されていなくても、TLSiが呼び出されたりトリガーされたりします。 これは、ペイロードにプロンプトページ/ブロックページを挿入するために、TLSiが発生する必要があるためです。 もし信頼されていない証明書または自己署名証明書が検出された場合、これは潜在的なセキュリティリスクであるため、TLSiが最初に有効化されていなかったとしても、このページをブロックするというのが私たちのアルゴリズムです。
  • 上記の動作は、イベントTLSインスペクション = 1 として反映されます
  • クライアントのPCにCato証明書がインストール済みの場合、ユーザーは確認ページを取得しますが、その後、『無効なSSL/TLS証明書』エラーが発生し、前述の点が証明されます。

ソリューション

ファイアウォールルールのアクション確認/ブロックから許可に変更するか、ターゲットサイトをアプリ/カテゴリとして含む新規ルールを作成し、アクションを許可に設定します。 サイトのIPアドレスまたはドメインをカスタムアプリケーションで定義できます。

 

この記事は役に立ちましたか?

2人中2人がこの記事が役に立ったと言っています

0件のコメント