ビジネスサポートポータルアカウントでログイン
HTTPSインスペクション機能によるHTTPS通信の復号が自動的に行われるケースについて  

HTTPSインスペクション機能によるHTTPS通信の復号が自動的に行われるケースについて

    • 更新日:
    • 19 Apr 2021
    • 製品/バージョン:
    • Trend Micro Web Security as a Service All
    • OS:
    • SaaS
概要
Trend Micro Web Security As a Service(以下、TMWS)には、HTTPSインスペクション機能があります。
こちらの機能を有効にすることで、TMWSは、HTTPS通信を復号し、HTTPS通信に対しても検索を行うことができるようになります。
一方、一部の条件下では、HTTPSインスペクション機能が無効であっても、当該機能によって自動的にHTTPS通信の復号が行われることがあります。
 
詳細
Public

TMWSを経由してHTTPSサイトにアクセスする際、以下のケースでは、HTTPSインスペクション機能が無効であっても、当該機能によって自動的にHTTPS通信の復号が行われます。

  1. クライアント端末に対応する利用ユーザが確認できず、TMWSが「HTTPS通信を復号し、HTTPヘッダ情報から認証情報を確認する必要がある」と判断した場合
    (例)仮想ゲートウェイに登録していないIPアドレスからTMWSへ接続した場合
     
  2. HTTPSサイトのURLのホスト名がTMWSのブロック対象であるため、当該サイトへのアクセスリクエストに対してTMWSのブロック画面の表示が必要となった場合
 

いずれの場合にも、クライアント端末には"TMWSへのCA証明書で署名されたサーバ証明書"が返却されるため、クライアント端末にTMWSのCA証明書のインストールしていない場合、サーバ証明書を信頼できないことに起因してブラウザの警告画面が表示されます。

 

ブラウザの警告画面表示への対策

上述のケースでは、それぞれTMWSの以下のCA証明書がHTTPS通信の復号で使用されます。
それぞれのCA証明書のクライアント端末へのインストールをお願いいたします。
また、2021年4月より、 クラウドプロキシ環境のHTTPSインスペクション機能用CA証明書の移行を順次進めております。 CA証明書インストールにあたっては、以下のKBも合わせてご参照ください。

参考:Trend Micro Web Security As a Service クラウドプロキシ環境のHTTPSインスペクション機能用CA証明書の移行について

 

1.クライアント端末に対応する利用ユーザが確認できず、TMWSが「HTTPS通信を復号し、HTTPヘッダ情報から認証情報を確認する必要がある」と判断した場合

管理コンソールの[ポリシー] > [グローバル設定] > [HTTPSインスペクション]で"有効化"を"オン"にした際に表示される、以下のリンクからダウンロード可能なCA証明書が使用されます。

 "クライアントデバイス用のSSL証明書(オンプレミス用)をダウンロードしてインストールします。"

以下のクラウド用の証明書ではありませんのでご注意ください。
こちらは、上述のクラウドプロキシ環境のHTTPSインスペクション機能用CA証明書の移行に伴い、新CA証明書に置き換わっております。

 "クライアントデバイス用のSSL証明書(クラウド用)をダウンロードしてインストールします。"

オンプレミス用の証明書のリンクからは、「クラウド環境、オンプレミスゲートウェイの両方で使用している従来のCA証明書」がダウンロードできます。
将来的に新CA証明書に移行予定であるため、インストールの際は両方インストールいただくようお願いします。 

2.HTTPSサイトのURLのホスト名がTMWSのブロック対象であるため、当該サイトへのアクセスリクエストに対してTMWSのブロック画面の表示が必要となった場合

管理コンソールの[ポリシー] > [HTTPSインスペクション] > [復号ルール]のルール名「初期設定」のルールで使用されているCA証明書が使用されます。
デフォルトでは、クラウドプロキシ環境、オンプレミスゲートウェイ共に、1.の場合と同じCA証明書が使用されます。

ただし、以下のオンラインヘルプに記載の手順で、「お客様環境独自のCA証明書でクロス署名したTMWSのCA証明書」を設定されている場合は、「お客様環境独自のCA証明書」をクライアント端末へインストールいただくことになります。

クラウドプロキシ用のCA証明書のクロス署名
オンプレミス用のCA証明書のクロス署名

Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000286178
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド