证书警告与已阻止的HTTPS网站

摘要

即使TLS检查被禁用,Cato Networks也可以充当中间人以便为HTTPS网站提供阻止页面。 这意味着,当浏览一个已阻止的HTTPS网站时,如果用户的计算机或浏览器上没有安装Cato证书,用户将看到证书警告。

下方的截图显示了Firefox在https://facebook.com被阻止且没有安装Cato证书时显示的警告。

115011234585-mceclip0.png

解决方案

在用户的计算机和/或浏览器上安装Cato证书以防止证书警告。 有关说明,请参阅我们的文章如何安装卡托证书

下方的截图显示了在Firefox中安装Cato证书后,https://facebook.com的阻止页面。

blocked_FB_example.png

更多详细信息

当HTTP网站被策略阻止时,Cato能够生成HTTP 403响应的阻止页面,该响应遵循客户端的HTTP GET方法。

然而,当HTTPS网站被阻止时,同样的方法是不可能的,因为客户端和服务器之间的所有流量都是加密的。

因此,为了向HTTPS网站提供阻止页面,Cato充当中间人。 Cato能够在TLS握手前检测到应该阻止的HTTPS网站,因此它截获客户端Hello并与客户端完成TLS握手。 然后Cato能够解密传入的GET请求并提供阻止页面。

这篇文章有帮助吗?

6 人中有 5 人觉得有帮助

0 条评论