説明
InterScan Web Security Suite (IWSS) および InterScan Web Security Virtual Appliance (IWSVA) では、URLフィルタなどで HTTPS サイトがブロックされた場合、セキュリティイベントを表示させるために、HTTPS サイトやクライアントと一旦 SSL/TLS コネクションが確立されます。
その際、サーバ証明書を受け取るために HTTPS サイトに対しても通信が発生し、HTTPS復号化機能が有効な場合と同様に、以下の処理が発生します。
- HTTPS サイトのサーバ証明書の検証
※IWSS ないし IWSVA による証明書の検証は、HTTPS復号化機能が無効の場合には実行されません。証明書にエラーが生じる場合はブラウザの証明書エラー画面が表示され、IWSS ないし IWSVA からのセキュリティイベント「HTTPS証明書エラー」画面は表示されません。
- HTTPS サイトのコモンネーム (FQDN) を IWSS ないし IWSVA の CA 証明書 (自己署名証明書) で署名した証明書の生成
HTTPS サイトからクライアント証明書が要求された場合は、最終的に、HTTPS復号化設定の「クライアント証明書の処理」に従って処理されます。初期状態では通信が許可 (トンネル) されます。
本仕様に該当する機能
- [HTTP]-[HTTPS復号化]
- [HTTP]-[URLフィルタ]
- [HTTP]-[URLアクセス設定]-[グローバルURLブロック]
- [HTTP]-[設定]-[アクセス管理の設定]-[HTTPSポート]
[HTTP]-[高度な脅威保護]-[ポリシー]-[ウイルス/不正プログラム検索ルール]-[配信前に検索]で、リダイレクトされた際の証明書の警告画面に関しては、管理コンソールにインポートされている証明書をWebブラウザに登録する必要があります。こちらの製品Q&Aをご参照ください。
対処方法
ブラウザの証明書エラーを回避するには、こちらを参照して、IWSS ないし IWSVA が使用する CA 証明書をブラウザの信頼されるルート証明機関にインポートしてください。
また、クライアント証明書が要求される HTTPS サイトがブロックされた場合に、意図せずトンネリングされることを避けるには、「クライアント証明書の処理」を「ブロック」に変更してください。