问题

即使禁用了TLS检查，Cato也会阻止访问使用不受信任的CA或自签名证书的网站

环境

• 禁用TLS检查
• 具有提示或阻止操作的防火墙规则

故障排除

• 阻止应生成一个TLS子类型事件，这可能会误导用户认为TLS检查在阻止流量，即使它已禁用。

• 按设计，当TLS检查未启用时，HTTPS请求不会被检查，即使相关网站使用不受信任的证书，也不会执行任何操作。
• 但是，当流量与具有提示或阻止作为操作的防火墙规则匹配时，即使未启用后者，也会调用或触发TLSi。 这是因为要将提示/阻止页面注入有载荷中，必须发生TLSi。 如果检测到不受信任或自签名的证书，我们的算法是即使TLSi最初未启用也阻止此页面，因为这是一种潜在的安全风险。
• 上述行为将在TLS 检查 = 1
  事件中反映出来
• 如果Cato证书安装在客户端的PC上，用户会收到提示页面，但之后他们会收到“无效的SSL/TLS证书”错误，这证明了前一点。