ビジネスサポートポータルアカウントでログイン
InterScan Web Security Virtual Appliance 6.5 Service Pack 2 Patch 4におけるHTTPS復号化機能の問題について  

InterScan Web Security Virtual Appliance 6.5 Service Pack 2 Patch 4におけるHTTPS復号化機能の問題について

    • 更新日:
    • 22 Jan 2021
    • 製品/バージョン:
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Virtual Appliance
概要
InterScan Web Security Virtual Appliance(以下、IWSVA) 6.5 Service Pack 2 Patch 4におけるHTTPS復号化機能において、複数の問題が確認されています。問題の内容と対策について以下に記載いたします。
詳細
Public
IWSVA 6.5 Service Pack 2 Patch 4のHTTPS復号化機能にて、以下5つの問題が確認されています。
当該機能をご利用のお客様におかれましては、多大なるご不便をお掛けしておりますこと、深くお詫び申し上げます。

 

影響のある製品

InterScan Web Security Virtual Appliance 6.5 Service Pack 2 Patch 4

以下の製品につきましては影響ありません。

  • InterScan Web Security Virtual Appliance 6.5 Service Pack 2 Patch 4未満
  • InterScan Web Security Suite 6.5 Linux版
  • InterScan Web Security Suite 5.6 Windows版

なお、お客様がご利用のIWSVAにPatch4が適用されているかどうかは、
IWSVA管理コンソールの[管理]>[システムアップデート]>[アプリケーションのバージョン]
から確認が可能です。

[アプリケーションのバージョン]では"6.5-SP2_Build_Linux_XXXX("XXXX"はビルド番号)"のように表示されますが、
ビルド番号が「1749以上」であれば、Patch4を適用しているとご判断いただけます。
 

前提条件

管理画面の [HTTP] > [HTTPS復号化] > [ポリシー]で"HTTPS復号化を有効にする"にチェックをし、HTTPS復号化機能を有効にしている場合に以下の事象が発生いたします。
HTTPS復号化機能を無効にしている場合は発生いたしません。
※事象2については補足事項がございますので、事象2の説明箇所をご参照ください。
 

事象1

 

内容

管理画面の [HTTP] > [HTTPS復号化] > [設定] > [SSL方式] にて [クライアントと同じバージョンのSSLでhttpsサーバに接続]を設定している場合、"TLS 1.0しか許可していないHTTPSサイト"の閲覧に失敗いたします。
 

原因

[クライアントと同じバージョンのSSLでhttpsサーバに接続]設定時において、Webブラウザが送信するTLS 1.0 Client HelloをHTTPS復号化機能が適切に処理できないことが原因となります。
[HTTP] > [HTTPS復号化] > [設定] > [SSL方式] にて[SSL設定のカスタマイズ]を設定している場合は、本事象は発生いたしません。

なお、以下いずれかの機能を使用し、当該HTTPSサイトをHTTPS復号化対象から除外することで、HTTPSサイト閲覧の失敗は回避できます。
 
  • [HTTP] > [HTTPS復号化] > [ポリシー] > (ポリシーを選択) > [除外設定]
  • [HTTP] > [HTTPS復号化] > [トンネリング]
  • [HTTP] > [URLアクセス設定] > [グローバルURLの信頼]
 

事象2

 

内容

HTTPS復号化機能の適用対象となるHTTPSサイトへのアクセスで、IWSVAのHTTP検査サービスの子プロセスが異常終了することがあります。
これにより、/var/iwss/coredumps配下に以下のようなファイルが生成されます。
 iwsstrace.(数値).(数値).(数値)
 rawstack.(数値).(数値).(数値)

補足(2021年1月22日更新):
HTTPS復号化機能を無効にしている環境でも、以下の場合でも発生し得ることが確認されております。仕様により「HTTPSサイトとTLSハンドシェイクのタイミング」でのみ一時的に内部でHTTPS復号化機能が動作する為です。
・[HTTP] > [URLフィルタ]を使用してブロック動作を行う場合。
・[HTTP] > [設定] > [アクセス管理の設定] > [HTTPSポート]を使用してアクセス拒否を行う場合。
 

 

原因

HTTPS復号化機能において、HTTPSサイトとTLSハンドシェイクを行う際のエラーハンドリング処理に問題が確認されています。TLSハンドシェイク失敗の状況によっては、HTTP検査サービスの子プロセスが異常終了することがございます。
なお、/var/iwss/coredumps配下に生成されたファイルは、その後自動的に/var/iwss/UserDumpsに移動します。
不要な場合、それぞれのディレクトリにあるファイルをrmコマンド等で手動削除いただいて問題ありません。
削除にあたり、IWSVAの関連サービスを停止させる必要はありません。
 
 例)/var/iwss/coredumps、/var/iwss/UserDumps配下のすべてのファイルを削除する場合
 # find /var/iwss/coredumps/ -type f | xargs rm -f
 # find /var/iwss/UserDumps/ -type f | xargs rm -f
 

事象3

 

内容

管理画面の [HTTP] > [HTTPS復号化] > [設定] > [サーバ証明書の検証]で"証明書検証を有効にする"を有効にしている場合、HTTPSサイトに問題が無いにも関わらず、IWSVAのHTTPS証明書エラー画面が表示されることがあります。
当該エラー画面の"メッセージの詳細:"を確認すると、以下のメッセージが表示されます。
 「CommonName "(アクセス先URLと異なるドメイン)" does not match URL "(アクセス先URL)"」
 

原因

Webブラウザが送信するTLS Client Helloに「session ticketを利用したTLSセッションの再開要求」が含まれていると、HTTPS復号化機能が「当該Client Helloに含まれているSNI(Server Name Indication)情報」の取得に失敗することが確認されています。
HTTPSサイトにSNI情報が送られないため、HTTPSサイトはアクセス先URLとは異なるサーバ証明書を提示いたします。そのため、上述のHTTPS証明書エラー画面が表示される結果となります。

なお、以下いずれかの機能を使用し、当該HTTPSサイトをHTTPS復号化対象から除外することで、HTTPS証明書エラー画面が表示は回避できます。
 
  • [HTTP] > [HTTPS復号化] > [ポリシー] > (ポリシーを選択) > [除外設定]
  • [HTTP] > [HTTPS復号化] > [トンネリング]
  • [HTTP] > [URLアクセス設定] > [グローバルURLの信頼]
 

事象4

 

内容

管理画面の [HTTP] > [HTTPS復号化] > [設定] > [SSL方式] にて [SSL設定のカスタマイズ]を設定している場合、HTTPSサイトの閲覧に失敗することがあります。
 

原因

[SSL設定のカスタマイズ]を使用時、タイミングによって「HTTPSサイトへの接続状況に問題が発生した」と誤って判断し、HTTPSサイトとの接続をクローズいたします。結果として、HTTPSサイトの閲覧に失敗することがあります。

なお、以下いずれかの機能を使用し、当該HTTPSサイトをHTTPS復号化対象から除外することで、本事象は回避できます。
 
  • [HTTP] > [HTTPS復号化] > [ポリシー] > (ポリシーを選択) > [除外設定]
  • [HTTP] > [HTTPS復号化] > [トンネリング]
  • [HTTP] > [URLアクセス設定] > [グローバルURLの信頼]
 

事象5

 

内容

管理画面の [HTTP] > [HTTPS復号化] > [設定] > [SSL方式] にて [SSL設定のカスタマイズ]を設定している場合、HTTPSサイトに対しTLS v1.3(未サポート)で接続することがあります。
 

原因

[SSL設定のカスタマイズ]を使用時、HTTPSサイトへ送信するClient Helloのsupported_version情報にTLS v1.3を誤って付与していることが原因です。

なお、以下いずれかの機能を使用し、当該HTTPSサイトをHTTPS復号化対象から除外することで、本事象は回避できます。
 
  • [HTTP] > [HTTPS復号化] > [ポリシー] > (ポリシーを選択) > [除外設定]
  • [HTTP] > [HTTPS復号化] > [トンネリング]
  • [HTTP] > [URLアクセス設定] > [グローバルURLの信頼]
 

対策

 

暫定対策

これらの問題を修正するデバッグモジュールを用意しております。
お手数をお掛けいたしますが、ご希望の場合はサポート窓口までお問合せください。

 

恒久対策

(2020年11月26日更新)
これらの問題の修正を含むCritical Patch 1762をリリースいたしました。
こちらからダウンロードいただけます。
 
Premium
Internal
Partner
評価:
カテゴリ:
Troubleshoot
Solution Id:
000256630
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド