أستكشاف أخطاء الشهادات ودوران الشهادات وإصلاحها
المقدمة
يوضح هذا المستند كيفية مسح خطأ شهادة "الاتصال غير موثوق به/غير خاص" لا يمكن تجاوزه.
خطأ في الشهادة
عندما يظهر خطأ في الشهادة ل .opendns.com أو *.cisco.com ولكن لا يمكن تجاوزه بإضافة إستثناء شهادة كما هو موضح في وثائق Cisco Umbrella إدارة شهادة Cisco Umbrella الجذر، أستخدم هذه الخطوات للسماح بمسح خطأ الشهادة.
عندما لا يمكنك تجاوز خطأ الشهادة بإضافة إستثناء، يرجع السبب في ذلك إلى تنفيذ أمان النقل المقيد ل HTTP (HSTS) أو تثبيت الشهادة المحمل مسبقا في المستعرضات الحديثة. يتم إجراء الاتصال بين مستعرضات معينة ومواقع ويب معينة بطريقة تتضمن متطلبات إستخدام HTTPS ولا يمكن تجاوز ذلك أو الاستثناء. يمنع هذا الأمان الإضافي لصفحات HTTPS صفحة "منع المظلة" وآلية "منع" الصفحة الالتفافية من العمل عندما تكون HSTS نشطة لموقع ويب.
نتيجة لذلك، لا يمكن الوصول إلى الصفحة المعنية من خلال منع تجاوز الصفحة (BPB) (في الواقع، قد لا تظهر الشاشة الالتفافية). قد تسمح هذه الأساليب بالوصول إلى تسجيل الدخول إلى BPB، لكن بعد تسجيل الدخول، يظهر خطأ الشهادة مرة أخرى ويرفض الوصول. راجع بقية هذا المقال إذا كنت ترى خطأ في الشهادة في Google Chrome، و Mozilla Firefox، و Safari لا يمكن تجاوزه وأنت تحاول الوصول إلى تسجيل الدخول العشوائي.
ملاحظة: يتوفر الآن حل لهذه المشكلة أكثر سهولة في الإدارة وأكثر إستمرارية لجميع المواقع.
ونتيجة لذلك، لا تزال هذه المعلومات قابلة للتطبيق ولكن يمكن الآن معالجتها باستخدام حل دائم. حاول تثبيت مرجع التحكم في الوصول (CA) الجذري من Cisco من خلال وثائق Cisco Umbrella: إدارة شهادة جذر Cisco Umbrella
هام: إذا كان المجال مدرجا في قائمة HSTS المثبتة، لا يمكن إضافة إستثناء لأن القائمة غير قابلة للتجاوز بشكل فعال إذا كنت تقوم بتشغيل Chrome أو Safari أو Firefox (Internet Exporer (IE) غير متأثر). لا يعمل "حظر تجاوز الصفحة" لمواقع مثل هذه. للحصول على قائمة كاملة بالخدمات التي تستخدم HSTS بواسطة هذه المستعرضات الثلاثة، الرجاء مراجعة بحث Google Chromium Code. وتشمل الخدمات الملحوظة في هذه القائمة ما يلي:
- جوجل (وموارد جوجل، مثل جي ميل، أو يوتيوب، أو جوجل دوكس)
- صندوق الإسقاط
- تويتر
- فيس بوك
إذا كان هذا يتسبب في حدوث مشكلة لك أو للمستخدمين لديك وتود رؤية تغييرات على "حظر الصفحة الالتفافية" للمساعدة في تخفيف هذه المشكلة، فالرجاء إرسال طلب ميزة عبر البريد الإلكتروني umbrella-support@cisco.com أو إلى مدير الحسابات لديك. تدرك فرق الهندسة وإدارة المنتجات لدينا وجود صعوبات في الحصول على الشهادات وإنشاء تجاوز لصفحة الحظر، كما تقوم باختبار عمليات إعادة تصميم بديلة لهذه الميزة.
الحلول الممكنة
هناك عدد قليل من السبل لحل هذه القضايا. أولا، توضح هذه الأقسام كيفية إستخدام سياسات أكثر دقة لمعالجة هذه المسألة. ثانيا، يمكنك إستخدام تكوينات المستعرض، ولكن يتم عزلها إلى مجموعة فرعية من المستعرضات المتأثرة بهذه المشكلة.
إدارة النهج والعميل المتجول
قد تكون هناك مشاكل في تكوين الشبكة أو نهج الاستخدام المقبول (HR) الذي يمنع هذا الحل. لا تعد إدارة السياسة حلا فعالا إذا تم السماح للمستخدمين بزيارة هذه المجالات فقط في أوقات معينة (مثل أثناء إستراحة الغداء). لا يمكن أن توفر Umbrella تطبيقا للسياسات يستند إلى الوقت مع خدمتنا، لذلك فإن السماح للمستخدم بالوصول إلى الموقع طوال الوقت قد يكون أمرا إشكاليا. على كمبيوتر مشترك، مثل وحدة طرفية عامة، لا يمكن لعميل Umbrella المتجول التمييز بين المستخدمين ولا يمكنه بسهولة السماح بالمجالات المناسبة للأشخاص المناسبين.
لا تكون إدارة السياسة فعالة بنفس القدر عند الأخذ في الاعتبار الهويات غير الدقيقة، مثل المواقع أو الشبكات، ما لم يكن المسؤول مرتاحا في منح جميع مستخدمي تلك الشبكة نفس الوصول. تعمل إدارة النهج بشكل أفضل عند تطبيقها على مجموعة فرعية من المستخدمين المسموح لهم بالوصول إلى المواقع في حين لا يمكن لبقية الشبكة، كما أنها تفرد هؤلاء المستخدمين من خلال تثبيت العميل المتجول على أجهزتهم وتطبيق التسلسل الهرمي المناسب للسياسة.
ملاحظة: أعلنت Cisco نهاية العمر الافتراضي لعميل Umbrella المتجول في 2 أبريل 2024. آخر تاريخ لدعم Umbrella Roaming Client هو 2 أبريل 2025. تتوفر جميع وظائف Umbrella Roaming Client حاليا في Cisco Secure Client. توفر Cisco الابتكارات المستقبلية في Cisco Secure Client فقط. نوصي بأن يبدأ العملاء في تخطيط عملية الترحيل وجدولتها الآن. يرجى الرجوع إلى مقالة KB هذه للحصول على إرشادات حول كيفية الترحيل من Umbrella Roaming Client (عميل حماية التجول) إلى Cisco Secure Client.
الإدارة الصحيحة للنهج هي أفضل حل لهذه المشكلة لأن المستعرض لا يتلقى إستجابة تحقق من الصحة فاشلة في المقام الأول. إذا تم السماح لبعض المستخدمين بالوصول إلى المواقع التي يحتاجون عادة إلى إستخدام "حظر تجاوز الصفحة" للوصول إليها، يمكنك بدلا من ذلك تكوين نهج منفصل لهؤلاء المستخدمين وإضافة المجالات التي يمكن السماح لهم باستخدامها إلى "قائمة السماح". بما أن طلبات المستخدمين غير محظورة أبدا، فلا يتلقى المستعرض أي طلب من مجال يحتوي على شهادة غير متطابقة. يمكنك إستخدام Umbrella Roaming Client لتقديم هذه السياسات المحددة. هذا يعني أنك تضع مجالات معينة في قائمة السماح لبعض المستخدمين في جميع الأوقات من اليوم للعمل على هذه الأخطاء.
ملاحظة: تعد Umbrella Roaming Client طريقة فعالة لتوزيع سياسات معينة على مستخدمين متعددين، ولكن إذا قمت بتمكين تكامل Active Directory(AD)، فيمكنك تطبيق هذه السياسات المسموح بها على مستخدمي AD معينين كذلك.
تجاهل أخطاء إستثناء الشهادة (Chrome ل Windows فقط)
يمكن تكوين Chrome ل Windows فقط لتجاهل أخطاء إستثناء الشهادة، مما يخفف من هذا الخطأ. يتم إعلام المستعرض بتجاهل الخطأ ويتم عرض صفحة "كتلة المظلة" العادية بدلا من ذلك.
هام: هذه الطريقة أكثر خطورة من ضبط إدارة النهج لأنه تم تكوين المستعرض لتجاهل أخطاء الشهادات. ومن الممكن نتيجة لذلك أن يخضع المستعرض لهجمات الدخيل (MiTM). ونتيجة لذلك، لا يمكننا أن نوصي بهذا كنهج آمن للتعامل مع هذا الخطأ ولكنه حل بديل.
يجب إجراء تغييرات التكوين هذه على أساس كل كمبيوتر، مما يجعل من الصعب على البيئات واسعة النطاق، ولكنها تعمل.
Firefox و Safari و Chrome لنظام التشغيل Mac OS X
لا يمكن تكوين Firefox و Safari و Chrome لنظام التشغيل Mac OS X لتجاهل أخطاء الشهادات للمجالات المثبتة، ودائما ما يتم إحترام قائمة HSTS. لا يوجد حل بديل معروف لهذه الأخطاء.
إنترنت إكسبلورر
لا يقوم Internet Explorer (IE) بتنفيذ قيود HSTS. ونتيجة لذلك، لا يلزم تكوين IE ولا يعرض هذا الخطأ. هذا عرضة للتغيير في الإصدارات المستقبلية من IE إذا أختارت Microsoft تنفيذ HSTS في المستعرض.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
26-Aug-2025
|
الإصدار الأولي |
التعليقات