Las páginas de advertencia, confirmación y EUN de WSA no se muestran correctamente para las solicitudes HTTPS explícitas

Opciones de descarga

  • PDF     (82.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (93.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.7 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de junio de 2014
ID del documento:117805

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe un problema que se encuentre en el dispositivo de seguridad de la red de Cisco (WSA) cuando la advertencia, el acuse de recibo, o las páginas de la notificación del usuario final (EUN) no visualizan correctamente para las peticiones explícitas HTTPS. Una solución alternativa para este problema también se proporciona.

Prerequisites

Requisitos

La información en este documento asume eso:

  • Despliegan a las direcciones del proxy WSA en el modo explícito.
  • Se bloquean las peticiones HTTPS o, advertido, o requiera el acuse de recibo del usuario.

Componentes Utilizados

La información en este documento se basa en Cisco WSA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Problema

La advertencia, el acuse de recibo, o las páginas EUN no visualizan correctamente para las peticiones explícitas HTTPS. El navegador visualiza una página incompleta de la notificación, o no visualiza la página en absoluto y en lugar de otro visualiza una página del error.

Hay varios problemas que rodean estas páginas cuando usted utiliza las peticiones explícitas HTTPS. Cuando usted configura a su navegador para utilizar un proxy, el tráfico HTTPS se dirige al WSA sobre el HTTP. Esta petición se formata como HTTPS sobre el HTTP.

Hay dos problemas conocidos con los navegadores que no dirigen correctamente el HTTP contestan que el WSA vuelve para las peticiones explícitas HTTPS. Cuando una petición explícita HTTPS se bloquea, advertido, o requiere el acuse de recibo del usuario, el WSA devuelve un código de estado 403. Dentro de esta contestación, el WSA incluye el contenido de la notificación que se debe rendir normalmente en la pantalla de modo que sea viewable. Sin embargo, en algunos casos, el navegador no puede entender la contestación dentro del contenido vuelto.
Ésta es la conducta del buscador se observa que:

  • Cuando se utilizan la versión de Explorador de Internet 6 (IE6) y algunas versiones de IE7, estas peticiones no pueden rendir el contenido total de la contestación HTML. El navegador honra solamente los primeros bytes (el contenido dentro del primer paquete) e ignora el resto. En estos casos, usted ve una página incompleta que visualice solamente algunos caracteres.

    Note: Si éste es el caso, Cisco recomienda que usted encoge la página predeterminada de la notificación de la contestación WSA. Para más información sobre cómo editar su página EUN, refiera a la sección de las páginas de la notificación de IronPort que edita del guía del usuario WSA.

  • Cuando IE8 y las versiones más recientes de la versión 3 de Firefox del Mozilla se utilizan, el navegador ignora totalmente la contestación que el WSA la vuelve y enmascara con su propia página del error. Esta conducta del buscador derrota el propósito de la notificación 403 y causa la interrupción con la característica.

Solución

Esta sección describe el proceso que ocurre cuando el desciframiento HTTPS se habilita en el WSA. Como solución alternativa al problema previamente descrito, utilice la información proporcionada para asegurarse de que su sistema está configurado por consiguiente.

Aquí está un ejemplo del flujo de tráfico cuando se envía una petición explícita HTTPS:

  • Cuando se habilita el desciframiento HTTPS, el WSA primero valida la petición contra las políticas de descifrado.

  • Si la petición es marcada para el PASSTHROUGH, después el tráfico se permite a través (ninguna advertencia o EUN).

  • Si la petición se marca como DESENCRIPTADO, después la petición se valida contra las políticas de acceso. En este caso, si la política de acceso se configura para ADVERTIR o BLOQUEAR, entonces las páginas muestra EUN correctamente. Desafortunadamente, porque acuse de recibo que el usuario debe navegar a la página HTTP y reconocer, que requiere la navegación con el proxy y entonces al sitio HTTPS.

  • El WSA recuerda el dirección IP del cliente y no requiere otro acuse de recibo hasta que expire el temporizador.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
12-Jun-2014
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Kei Ozaki and Zack Shaikh
    Cisco TAC Engineers.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos