Vraag:
Waarom kan ik niet inloggen op MSN Live Messenger wanneer Cisco Web Security Appliance (WSA) HTTPS-verkeer decrypteert?
Milieu: MSN Live Messenger, WSA met HTTPS proxy en decryptie ingeschakeld
Symptomen: Kan niet inloggen op MSN Live Messenger.
Toegangssignalen tonen WSA decryptie verkeer (DECRYPT_xxx) zoals hieronder:
126518487.178 67 xx.xx.xx.xx TCP_MISS_SSL/2000 TCP_CONNECT 65.54.165.137:443 - DIRECT/65.54.165.137 - DECRYPT_ADMIN_7-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup <-,-"-",-"-,-,-,--"-,-"-",-"-,-"-,-"-"-"-","-"-",-"-"-,--,--,---,-"-"-, -","-","-","-","-",0,00,0,[Afstandsbediening],"-","-"> -
Root-oorzaak
MSN messenger gebruikt de proxy instellingen die zijn ingesteld in Internet Explorer (IE) browser. Wanneer MSN-boodschapper probeert verbinding te maken met de MSN-server, onderschept WSA het verzoek en decrypteert het door het HTTPS-certificaat te gebruiken dat op WSA is geüpload of gegenereerd (onder GUI > Security Services > HTTPS proxy). Vandaar dat de MSN boodschapper een SSL certificaat voor de MSN server ontvangt maar door de WSA volmacht werd getekend/uitgegeven, die het niet vertrouwt en dus niet met het loggen verder gaat. .
Oplossing
Importeer het HTTPS-certificaat van de proxy in de client machine in IE.
U kunt het certificaat van de WSA downloaden onder GUI > Security Services >HTTPS proxy > Instellingen bewerken > Downloadcertificaat.
Opmerking
Standaard zou het decryptiebeleid op WSA 'Decrypt'-sites met WBRS-score van -9.0 tot +6.0. In de meeste gevallen zouden de MSN log-on pagina's normaal niet vallen in dit standaard WBRS-decryptie bereik en daarom is het onwaarschijnlijk dat dit gedrag gezien wordt bij standaardconfiguraties.