투명한 프록시를 사용하는 고객은 YouTube.com과 Google.com을 구별하기 위해 적극적으로 트래픽을 해독해야 합니다.

다운로드 옵션

  • PDF     (103.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (85.8 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (69.6 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2014년 10월 13일 (월)
문서 ID:118420

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

문제

투명한 프록시를 사용하는 고객은 YouTube.com과 Google.com을 구별하기 위해 적극적으로 트래픽을 해독해야 합니다.

환경

투명 프록시 배포, HTTPS 프록시 사용

증상

이전에는 Google이 각 기본 도메인 이름에 서로 다른 SSL 서버 인증서를 사용했습니다.따라서 https://www.google.com 및 https://www.youtube.com에 연결한 경우 각각 다른 서버 인증서가 해당 두 도메인 중 하나에 대해 유효하다는 것을 지정하는 다른 서버 인증서가 표시됩니다.

최근 구글은 자체 자체 자체 CA가 서명한 모든 웹 속성에 대해 단일 SSL 서버 인증서를 사용하는 것으로 전환했습니다.따라서 SSL을 사용하여 위에 나열된 두 개의 도메인을 찾아보면 동일한 인증서가 제공됩니다.이 인증서는 X.509에 대한 확장자 "SubjectAltName"을 사용하여 해당 인증서에 유효한 도메인 십여 개를 나열합니다.이 새 인증서에 유효한 Google 도메인의 전체 목록은 다음과 같습니다.

이 기능은 브라우저에 적합합니다.브라우저가 youtube.com에 연결하려고 한다는 것을 알고 있으며, youtube.com(및 기타 10개)에 적합한 인증서를 확인하고, 아무런 경고 없이 연결이 통과할 수 있도록 합니다.

WSA에 미치는 영향

모든 프록시 서버의 경우, 클라이언트에서 요청을 볼 때 가장 먼저 해야 할 일은 클라이언트가 이동하려는 웹 대상을 결정하는 것입니다.일반 HTTP의 경우 매우 쉽습니다.HTTP 요청의 Host 헤더를 확인합니다.

SSL의 경우 더 어렵습니다.명시적 프록시 모드에서는 브라우저가 CONNECT 요청에서 알려주기 때문에 간단합니다.이러한 어려움은 투명 모드로 나타납니다.WSA에서 암호 해독이 활성화되면 사용자가 연결을 실제로 해독하기 전에 찾아보려는 위치를 확인해야 합니다.

오늘날, 클라이언트가 연결하려는 IP 주소를 확인하고, 직접 해당 IP에 연결하고, 특히 CN 필드에서 인증서를 보는 방식으로 이 작업을 수행합니다.고유한 호스트 이름에 자체 SSL 서버 인증서가 있는 경우 이 기능은 효과적입니다.또한 고객은 WSA의 CA 인증서를 클라이언트로 배포하지 않고도 SSL 트래픽에 대해 약간의 정책 적용을 구현할 수 있습니다.고객은 https://www.google.com을 허용하되 https://www.youtube.com을 차단하려면 첫 번째를 "allow, don't decrypt"로, 두 번째 를 암호 해독 정책에서 "drop"으로 설정합니다.

이제 youtube.comgoogle.com은 동일한 서버 인증서를 제공합니다.즉, 두 가지를 구분하기 위해 WSA는 클라이언트가 연결하려는 IP 주소에 제공된 인증서 이외의 다른 것을 찾아야 합니다.

이 문제에 대한 솔루션은 Cisco 버그 ID 74969로 추적되고 있습니다.

솔루션

이 설정의 영향을 받는 컨피그레이션이 있는 경우 즉시 해결 방법은 SSL 트래픽의 활성 암호 해독을 설정하는 것입니다.이전에 WSA에서 CA 인증서를 배포하지 않은 고객의 경우 이를 시작해야 합니다.이것이 그 문제에 대한 가장 일반적인 해결책입니다.

부록

Google의 새 인증서가 유효한 도메인 목록:

DNS 이름:*.google.com
DNS 이름: google.com
DNS 이름:*.atggl.com
DNS 이름:*.youtube.com
DNS Name(DNS 이름): youtube.com
DNS 이름:*.ytimg.com
DNS 이름:*.google.com.br
DNS 이름:*.google.co.in
DNS 이름:*.google.es
DNS 이름:*.google.co.uk
DNS 이름:*.google.ca
DNS 이름:*.google.fr
DNS 이름:*.google.pt
DNS 이름:*.google.it
DNS 이름:*.google.de
DNS 이름:*.google.cl
DNS 이름:*.google.pl
DNS 이름:*.google.nl
DNS 이름:*.google.com.au
DNS 이름:*.google.co.jp
DNS 이름:*.google.hu
DNS 이름:*.google.com.mx
DNS 이름:*.google.com.ar
DNS 이름:*.google.com.co
DNS 이름:*.google.com.vn
DNS 이름:*.google.com.tr
DNS 이름:*.android.com
DNS 이름:*.gogglecommerce.com

TAC Authored

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품