Problema

O acesso a um website com um certificado CA não confiável ou autoassinado é bloqueado pela Cato mesmo que a Inspeção TLS esteja desativada

Ambiente

• Inspeção TLS desabilitada
• Regra de Firewall com ação de Prompt ou Bloquear

Solução de Problemas

• O bloqueio deve gerar um evento de subtipo TLS que pode induzir os usuários a pensar que a Inspeção TLS está bloqueando o tráfego, mesmo estando desativada.

• Corretamente, por design, quando a Inspeção TLS não está habilitada, as solicitações HTTPS não serão inspecionadas mesmo quando o website em questão estiver usando um certificado não confiável, nenhuma ação será realizada.
• No entanto, quando o tráfego corresponde a uma Regra de Firewall que tem Prompt ou Bloquear como Ação, isso invocará ou acionará o TLSi, mesmo que este não tenha sido habilitado. Isso ocorre porque, para injetar a página de Prompt/Bloqueio na carga útil, é necessário que o TLSi ocorra. Se detectar o certificado não confiável ou autoassinado, nosso algoritmo é bloquear essa página, mesmo que o TLSi não tenha sido habilitado inicialmente, pois é um risco de segurança potencial.
• O comportamento acima será refletido no evento com a Inspeção TLS = 1
  
• Se o certificado Cato estiver instalado no PC do cliente, o usuário recebe a página de Prompt, mas após isso, ele receberá um erro de 'Certificado SSL/TLS inválido', o que prova o ponto anterior.