Introdução
Este documento descreve uma limitação SWG específica onde a inspeção SSL desativa o suporte à compactação Brotli, o que pode causar problemas de carregamento na Web.
Informações de Apoio
Quando a inspeção SSL (descriptografia HTTPS) está habilitada no Cisco Secure Web Gateway (SWG), uma limitação importante é que o SWG atualmente não oferece suporte à compactação Brotli. Essa limitação afeta a forma como os cabeçalhos de codificação de conteúdo são tratados durante a descriptografia SSL, o que pode causar problemas com o conteúdo e carregamento incompleto de ativos da Web.
Problema
Na verdade, a falta de suporte Brotli do SWG faz com que o proxy remova ou altere o cabeçalho Accept-Encoding que inclui Brotli (br). Como resultado, o servidor pode responder com tipos MIME inesperados como application/x-gzip em vez do application/javascript correto. Essa incompatibilidade de tipo MIME aciona recursos de segurança do navegador, como o Opaque Response Blocking (ORB) do Chrome, que bloqueia o conteúdo para evitar possíveis riscos de segurança. Consequentemente:
-
Ativos compactados com Brotli não podem ser tratados ou reconhecidos corretamente pelo SWG durante a descriptografia SSL.
-
A remoção de Brotli do cabeçalho Accept-Encoding pelo proxy faz com que o servidor forneça conteúdo com tipos MIME incorretos.
-
Os navegadores bloqueiam o conteúdo, causando falhas no carregamento de recursos essenciais da Web.
Solução
Para atenuar esse problema, é recomendável ignorar a descriptografia SSL para domínios afetados adicionando-os à lista "Não descriptografar". Isso evita a incompatibilidade de tipo MIME e o bloqueio de conteúdo. Além disso, espera-se que o Cisco Secure Web Gateway ofereça suporte à compactação Brotli e forneça um tratamento aprimorado da codificação moderna de conteúdo da Web em um futuro próximo.
Informações Relacionadas
Feedback