簡介
本文檔介紹如何對Umbrella安全Web網關上增加516個錯誤進行故障排除。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Umbrella安全Web閘道(SWG)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
概觀
使用HTTPS檢查瀏覽Umbrella Secure Web Gateway(SWG)代理的使用者可以從2023年10月下半年開始更頻繁地接收516 Upstream Certificate CN Mismatch錯誤頁面。
當網站的證書與客戶端用於訪問網站的域名不匹配時,就會出現516錯誤頁面。
錯誤頁面增加是由於Chrome瀏覽器對使用HTTP(未加密)方案的URL請求的處理發生變化。Chrome現在會嘗試先使用HTTPS(加密)方案載入資源。當配置為HTTPS檢查時,SWG檢查網站的證書,如果證書不可接受,則返回顯示錯誤代碼(例如516)的網頁。
要解決此問題,客戶可以配置其Web策略以繞過HTTPS檢查請求,否則會導致516個錯誤。
516錯誤背景
簡而言之,當用於通過HTTPS訪問網站的域名沒有出現在伺服器的數位證書中時,Umbrella安全Web網關會返回516錯誤頁面。有關描述安全Web網關返回516錯誤頁原因的其他資訊,請參閱Umbrella知識庫文章「516 Upstream Certificate CN Mismatch」錯誤。
例如,假設一個網站以以下形式提供HTTP URL中的內容:http://www.example.com/path_to_content。如果使用者要求等效HTTPS URL,但網站沒有其SAN與www.example.com相符的憑證(或許SAN僅與example.com相符合),則如果要求由Umbrella的安全Web閘道使用使用SWG的HTTPS檢查功能的Web原則處理,使用者會收到516錯誤。
Chrome行為更改
2023年10月下半月,Google完成了Chrome瀏覽器新功能的推出。在該日期之後,使用該URL的HTTPS版本自動請求該HTTP URL。例如,當使用者請求http://www.example.com時,Chrome會首先嘗試使用https://www.example.com完成請求。
如果Chrome在請求HTTPS URL時收到與HTTPS相關的錯誤,則Chrome會嘗試通過HTTP載入相同的內容。如果對HTTP URL的請求成功,Chrome會顯示一個包含文本指示站點不安全的註釋頁面和一個連結,使用者可以通過該連結繼續下面的影象。

這是Chrome新功能中的後備行為。
但是,當使用HTTPS檢查通過SWG瀏覽時,如果HTTPS請求從站點產生與HTTPS相關的錯誤(如「ERR_CERT_COMMON_NAME_INVALID」),SWG會攔截該錯誤,並將SWG錯誤頁面返回到Chrome(如516錯誤頁面)。Chrome不會將此SWG內容視為與HTTPS相關的錯誤,因此不會產生回退行為,並且會顯示SWG錯誤頁面,而不是前一影象中的頁面。
有關新Chrome行為的更多資訊,請參閱Chromium 部落格和該功能的GitHub儲存庫。
確定錯誤源
現在Chrome自動將HTTP URL提升為HTTPS URL,使用者會更頻繁地看到產生516個錯誤的網站。
要確認網站是否導致HTTPS相關錯誤(如516響應),請從未使用Umbrella的案頭系統中使用Chrome瀏覽該網站。請務必在Chrome的Omnibox(類似位址列)中手動顯式輸入HTTPS版本的URL,而不是按一下HTTP超連結。如果超連結在SWG中生成516錯誤,則手動在Chrome中請求不帶SWG的HTTPS URL會生成錯誤消息「ERR_CERT_COMMON_NAME_INVALID」。 此錯誤消息確認此問題是用於訪問網站的域名的錯誤證書。
或者,使用Qualys SSL Server Test站點等線上工具診斷網站問題。
因應措施
Umbrella管理員可以使用以下選項之一解決此問題:
1.為這些站點建立特定的目標清單,並將該清單新增到無HTTPS檢查的Web策略。
2.建立產生516個錯誤頁面的站點的選擇性解密清單,並將選擇性解密清單添加到所有相關的Web策略
附註:HTTP重定向或郵件安全系統等用其服務的HTTPS URL代替原始HTTP URL的因素可能會掩蓋所需的域名。識別目標清單或選擇性解密清單的正確域名可能需要調查,包括使用特定工具(捲曲、Chrome開發人員工具、電子郵件安全供應商日誌等)。
516錯誤和電子郵件系統
如果電子郵件系統以HTML格式顯示電子郵件並允許電子郵件中的超連結,則會導致516錯誤頻率增加。撰寫電子郵件時,如果發件人鍵入域名或將域名貼上到電子郵件正文中,許多電子郵件系統會自動將純文字檔案域名提升為超連結。通常,建立連結時,方案是HTTP而不是HTTPS。
例如,在電子郵件中鍵入字串example.com可生成包含HTML代碼<a href="http://www.example.com">(顯示為超連結www.example.com)的電子郵件。
如果此類電子郵件的收件人按一下該HTTP超連結,則如果按一下開啟Chrome或者已經使用Chrome檢視電子郵件,則請求最初使用HTTPS。
附註:其他瀏覽器也可以將HTTP提升為HTTPS。
此外,故意使用HTTP方案的電子郵件中的超連結也會以類似方式處理。
一些常見的雲服務會通過HTTP超連結而不是HTTPS超連結傳送來自第三方事務性電子郵件服務提供商的電子郵件。Chrome自動嘗試載入的HTTPS站點可能會以證書錯誤響應電子郵件連結中的域名,如本例中的Seegrid中的。
當這些電子郵件具有大的收件人清單時,許多通過SWG傳送其點選(或請求)的使用者可能會報告錯誤,如516錯誤。請聯絡您的電子郵件服務提供商或傳送電子郵件的組織,以糾正證書錯誤。