Должен ли я разрешить какой-либо URL для аутентификации SSL-сертификатов?

Question

Должен ли я разрешить какой-либо URL для аутентификации SSL-сертификатов?

Я настраиваю сеть моей компании.

Существует несколько разных уровней доступа, которые определяют, к каким веб-сайтам могут обращаться пользователи.

Пользователи с самым низким уровнем доступа должны иметь доступ только к нескольким веб-сайтам, поэтому я создал белый список, содержащий около 10 URL-адресов, и настроил веб-фильтр, чтобы запретить подключения к любому URL-адресу, которого нет в списке.

Он работает, как и ожидалось, за исключением нескольких сайтов, таких как http://bizagi.com/. Когда я пытаюсь подключиться к этому URL, хотя он находится в белом списке, я получаю следующую ошибку:

Проблема определенно связана с веб-фильтром, потому что, если я изменю его действие по умолчанию на Разрешить сайты, которые не занесены в белый список, оно будет работать как положено.

Я понимаю, что могу просто добавить исключение, но это не похоже на то, что нужно делать.

Итак, мой вопрос: должен ли я внести в белый список какой-либо URL-адрес, чтобы SSL-сертификаты аутентифицировались должным образом? Если да, то какие? Если нет, могу ли я что-то еще сделать (кроме добавления исключения, хе-хе)?

PS: я использую Cyberoam CR15ing

Заранее спасибо.

0

networking firewall ssl-certificate ssl-certificate-errors

Источник

appa yip yip 19 июл '17 в 14:11

1 ответ

Решение

Другие вопросы по тегам networking firewall ssl-certificate ssl-certificate-errors

Jason Martin 19 июл '17 в 14:37 2017-07-19 14:37 · Accepted Answer · 2017-07-19 14:37

Я подозреваю, что прокси-сервер каким-то образом посредничает с SSL-соединением и не обрабатывает SNI должным образом. SSLLabs указывает, что этому веб-сайту требуется SNI, и я видел это раньше - клиенты, не являющиеся SNI, в конечном итоге видят базовый сертификат, а bizagi размещается в Azure.

$ openssl s_client -connect www.bizagi.com:443
---
Certificate chain
 0 s:/CN=*.azurewebsites.net
   i:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2
 1 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2
   i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root

против

$ openssl s_client -connect www.bizagi.com:443 -servername www.bizagi.com
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=GB/ST=Buckinghamshire/L=Gerrards Cross,/O=BIZAGI LIMITED/CN=*.bizagi.com
   i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5