解析"515上游證書不可信"Umbrella SWG出錯
簡介
本檔案介紹安全Web閘道(SWG)上「515 Upstream Certificate Untrusted」錯誤的原因和解決方案。
錯誤描述
當通過Umbrella安全Web網關訪問HTTPS網站時,可能出現以下錯誤:
"515 Upstream Certificate Untrusted"
360069883331
此錯誤表示無法驗證網站證書。
原因
Umbrella驗證由網站提供的數位證書,以確認伺服器真實性並驗證受信任的機構是否已經頒發證書。
證書問題可能因多種情況而導致。出現此錯誤時,同一網站通常無法訪問,或在沒有Umbrella SWG的普通Web瀏覽器中顯示警告或錯誤頁面。為安全起見,安全Web網關不允許終端使用者繞過證書錯誤。
錯誤的常見原因
-
證書不是由受信任的根頒發機構頒發的
Umbrella維護可以識別網站的根憑證授權機構清單。證書必須由其中一個主管機構簽署。Umbrella從主要Web瀏覽器使用的通用源獲取此清單。如果您確定SWG不信任合法證書頒發機構,請與Umbrella支援部門聯絡。 -
證書主機名與目標URL不匹配
證書中指定的主機名必須與使用者正在訪問的URL(例如,在位址列中鍵入的URL)匹配。 如果主機名不匹配,則證書無效。 -
證書已過期
網站證書已過其到期日期。 -
證書已吊銷
此網站證書已被根證書頒發機構吊銷,可能是由於欺詐使用。 -
網站未提供的中間CA鏈
網站必須提供完整的證書鏈(包括任何中間證書頒發機構),以允許最多到根證書頒發機構的驗證。如果此鏈缺失,Umbrella無法驗證證書。某些憑證使用授權資訊存取擴充模組(RFC4325),允許使用者端自動尋找中間憑證。Umbrella支援此功能,但並非在所有配置中都支援。您必須為此功能啟用Umbrella File Inspection。 -
主機名中的字元無效
如果主機名包含無效字元,SWG無法驗證證書。Internet主機名中的有效字元包括RFC952和RFC1123中定義的字母字元(A-Z)、數字(0-9)、減號(-)和句點(.)。某些瀏覽器允許使用其他字元,但SWG不支援這些字元。
解析
Umbrella安全Web網關支援證書錯誤處理配置。有關實現此功能的詳細資訊和說明,請參閱啟用證書錯誤處理文檔。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
05-Sep-2025
|
初始版本 |
意見