문제
투명한 프록시를 사용하는 고객은 YouTube.com과 Google.com을 구별하기 위해 적극적으로 트래픽을 해독해야 합니다.
환경
투명 프록시 배포, HTTPS 프록시 사용
증상
이전에는 Google이 각 기본 도메인 이름에 서로 다른 SSL 서버 인증서를 사용했습니다.따라서 https://www.google.com 및 https://www.youtube.com에 연결한 경우 각각 다른 서버 인증서가 해당 두 도메인 중 하나에 대해 유효하다는 것을 지정하는 다른 서버 인증서가 표시됩니다.
최근 구글은 자체 자체 자체 CA가 서명한 모든 웹 속성에 대해 단일 SSL 서버 인증서를 사용하는 것으로 전환했습니다.따라서 SSL을 사용하여 위에 나열된 두 개의 도메인을 찾아보면 동일한 인증서가 제공됩니다.이 인증서는 X.509에 대한 확장자 "SubjectAltName"을 사용하여 해당 인증서에 유효한 도메인 십여 개를 나열합니다.이 새 인증서에 유효한 Google 도메인의 전체 목록은 다음과 같습니다.
이 기능은 브라우저에 적합합니다.브라우저가 youtube.com에 연결하려고 한다는 것을 알고 있으며, youtube.com(및 기타 10개)에 적합한 인증서를 확인하고, 아무런 경고 없이 연결이 통과할 수 있도록 합니다.
WSA에 미치는 영향
모든 프록시 서버의 경우, 클라이언트에서 요청을 볼 때 가장 먼저 해야 할 일은 클라이언트가 이동하려는 웹 대상을 결정하는 것입니다.일반 HTTP의 경우 매우 쉽습니다.HTTP 요청의 Host 헤더를 확인합니다.
SSL의 경우 더 어렵습니다.명시적 프록시 모드에서는 브라우저가 CONNECT 요청에서 알려주기 때문에 간단합니다.이러한 어려움은 투명 모드로 나타납니다.WSA에서 암호 해독이 활성화되면 사용자가 연결을 실제로 해독하기 전에 찾아보려는 위치를 확인해야 합니다.
오늘날, 클라이언트가 연결하려는 IP 주소를 확인하고, 직접 해당 IP에 연결하고, 특히 CN 필드에서 인증서를 보는 방식으로 이 작업을 수행합니다.고유한 호스트 이름에 자체 SSL 서버 인증서가 있는 경우 이 기능은 효과적입니다.또한 고객은 WSA의 CA 인증서를 클라이언트로 배포하지 않고도 SSL 트래픽에 대해 약간의 정책 적용을 구현할 수 있습니다.고객은 https://www.google.com을 허용하되 https://www.youtube.com을 차단하려면 첫 번째를 "allow, don't decrypt"로, 두 번째 를 암호 해독 정책에서 "drop"으로 설정합니다.
이제 youtube.com과 google.com은 동일한 서버 인증서를 제공합니다.즉, 두 가지를 구분하기 위해 WSA는 클라이언트가 연결하려는 IP 주소에 제공된 인증서 이외의 다른 것을 찾아야 합니다.
이 문제에 대한 솔루션은 Cisco 버그 ID 74969로 추적되고 있습니다.
솔루션
이 설정의 영향을 받는 컨피그레이션이 있는 경우 즉시 해결 방법은 SSL 트래픽의 활성 암호 해독을 설정하는 것입니다.이전에 WSA에서 CA 인증서를 배포하지 않은 고객의 경우 이를 시작해야 합니다.이것이 그 문제에 대한 가장 일반적인 해결책입니다.
부록
Google의 새 인증서가 유효한 도메인 목록:
DNS 이름:*.google.com
DNS 이름: google.com
DNS 이름:*.atggl.com
DNS 이름:*.youtube.com
DNS Name(DNS 이름): youtube.com
DNS 이름:*.ytimg.com
DNS 이름:*.google.com.br
DNS 이름:*.google.co.in
DNS 이름:*.google.es
DNS 이름:*.google.co.uk
DNS 이름:*.google.ca
DNS 이름:*.google.fr
DNS 이름:*.google.pt
DNS 이름:*.google.it
DNS 이름:*.google.de
DNS 이름:*.google.cl
DNS 이름:*.google.pl
DNS 이름:*.google.nl
DNS 이름:*.google.com.au
DNS 이름:*.google.co.jp
DNS 이름:*.google.hu
DNS 이름:*.google.com.mx
DNS 이름:*.google.com.ar
DNS 이름:*.google.com.co
DNS 이름:*.google.com.vn
DNS 이름:*.google.com.tr
DNS 이름:*.android.com
DNS 이름:*.gogglecommerce.com