Sécurité : Dispositifs de sécurité Web Cisco IronPort

Pourquoi est-ce que je ne peux pas ouvrir une session à MSN Live Messenger quand le trafic des déchiffrages HTTPS WSA ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Contenu

Contribué par Jakob Dohrmann et Siddharth Rajpathak, ingénieurs TAC Cisco.

Question :

Pourquoi est-ce que je ne peux pas ouvrir une session à MSN Live Messenger quand le trafic des déchiffrages HTTPS des appareils de sécurité Web de Cisco (WSA) ?

Environnement : MSN Live Messenger, WSA avec le proxy HTTPS et le déchiffrement activés

Symptômes : Ne peut pas ouvrir une session à MSN Live Messenger.

Le trafic de déchiffrage de l'exposition WSA de logs d'Access (DECRYPT_xxx) comme ci-dessous : :

1265184887.178 67 xx.xx.xx.xx TCP_MISS_SSL/200 0 TCP_CONNECT 65.54.165.137:443 - DIRECT/65.54.165.137 - DECRYPT_ADMIN_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup <-,-,"-","-",-,-,-,"-","-",-,-,-,"-","-","-","-","-",-,-,-,-,"-","-","-","-","-","-",0.00,0,[Remote],"-","-"> -

Cause principale

Le messenger de MSN utilise les paramètres de proxy configurés en navigateur de l'Internet Explorer (IE). Quand les essais de messenger de MSN pour connecter à MSN le serveur, WSA intercepte la demande et la déchiffre à l'aide du certificat HTTPS téléchargé ou généré sur WSA (sous GUI > Services de sécurité > proxy HTTPS). Par conséquent, le messenger de MSN reçoit un certificat ssl pour le serveur de MSN mais signé/émis par le proxy WSA, au lequel il ne fait pas confiance et ainsi il ne continue pas d'ouvrir une session.

Solution

Importez le certificat HTTPS du proxy dans la machine cliente dans l'IE.

Vous pouvez télécharger le certificat du WSA sous GUI > Services de sécurité > proxy HTTPS > éditez les configurations > le certificat de téléchargement.

Note

Par défaut, les stratégies de déchiffrement sur WSA « déchiffrent » des sites avec une vingtaine WBRS de -9.0 à +6.0. Dans la plupart des cas, les pages de login de MSN ne tomberaient pas normalement dans cette plage de déchiffrement du par défaut WBRS et par conséquent ce comportement est peu susceptible d'être observé sur des configurations par défaut.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118151