セキュリティ : Cisco Web セキュリティ アプライアンス

透過的なプロキシを使用している顧客は YouTube.com と Google.com の間で区別するためにアクティブに トラフィックを復号化する必要があります

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

問題

透過的なプロキシを使用している顧客は YouTube.com と Google.com の間で区別するためにアクティブに トラフィックを復号化する必要があります。

著者:Cisco TAC エンジニア。

環境

透過的なプロキシ配備、有効に なる HTTPS プロキシ

症状

以前は、Google はプライマリ ドメイン名のそれぞれのために異なる SSL サーバ証明を使用しました。 従って https://www.google.com および https://www.youtube.com に接続したら、それら二つのドメインの 1 つのために有効であること規定 して いる異なるサーバー認証を、それぞれ見ます。

最近、Google は Web プロパティすべてのために単一 SSL サーバ証明を使用することに、自身の社内 CA によって署名されて切り替えました。 従って SSL の使用の上にリストされている 2 つのドメインに参照すれば同じ認証を得ます。 認証は X.509 に拡張を使用すること「その認証のための有効なとして少数のダースつのドメインをリストするために SubjectAltName」を呼出しました。 この新しい認証のために有効の Google ドメインの詳細なリストは下記にあります。

これはブラウザのためにうまく働きます: ブラウザは確認します youtube.com に接続することを試みていることを youtube.com (およびその他のたくさんの事柄)のために有効である、および接続が警告なしで行くようにします認証を見ます。

これが WSA にどのように影響を与えるか

プロキシサーバに関しては、クライアントが行くことを試みているどんな Web 宛先かクライアントからの要求は判別するあることを見る場合のする必要がある最初の事柄。 明白な HTTP に関しては、それはかなり容易です: HTTP 要求のホスト ヘッダを検知 して下さい。

SSL に関しては、それはより困難です。 明示的 な プロキシモードでは、ブラウザは接続要求で容易であるように、私達に告げます。 問題は透過モード入って来ます。 WSA で有効に されて 復号化がユーザが実際に接続をか復号化する前ににどこにブラウズすることを試みているか判別する必要があります。

現在、これをクライアントがに接続することを試みている IP アドレスを検知 し私達自身その IP に接続し、CN フィールドで認証を、によって特に検知 すること、します。 これはユニークなホスト名に自身の SSL サーバ証明があるときうまく作動します。 それはまた顧客がクライアントに何でも復号化しないでとこうして WSA の CA 証明書を配らないで SSL トラフィックのためのポリシー施行の量を設定することを可能にします。 顧客は https://www.google.com を許可することができますが、https://www.youtube.com を第 1 の割り当てるために設定によってブロックするために「」復号化 ポリシーで」廃棄するべき第 2 「復号化しなければ。

この場合、youtube.com および google.com は同じサーバ証明を動作します。 これは 2 の間で区別するために、WSA がクライアントが接続することを試みている IP アドレスで動作されるちょうど認証以外何かを探さなければならないことを意味します。

この問題へのソリューションは Cisco バグ ID 74969 としてトラッキングされています。

解決策

設定をこれから影響を受けてもらう場合即時 の ソリューションは SSL トラフィックのアクティブな復号化をつけることです。 以前に WSA からの CA 認証を配らなかった顧客向けに、それらはそうし始める必要があります。 これは問題へ最もよい一般的なソリューションです。

付録

Google の新しい認証が有効であるドメインのリスト:

DNS名: *.google.com
DNS名: google.com
DNS名: *.atggl.com
DNS名: *.youtube.com
DNS名: youtube.com
DNS名: *.ytimg.com
DNS名: * .google.com.br
DNS名: * .google.co.in
DNS名: *.google.es
DNS名: * .google.co.uk
DNS名: *.google.ca
DNS名: *.google.fr
DNS名: *.google.pt
DNS名: *.google.it
DNS名: *.google.de
DNS名: *.google.cl
DNS名: *.google.pl
DNS名: *.google.nl
DNS名: * .google.com.au
DNS名: * .google.co.jp
DNS名: *.google.hu
DNS名: * .google.com.mx
DNS名: * .google.com.ar
DNS名: * .google.com.co
DNS名: * .google.com.vn
DNS名: * .google.com.tr
DNS名: *.android.com
DNS名: *.googlecommerce.com


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118420