以下のような状況で、iOS 13/macOS 10.15以降のクライアント環境におけるHTTPS復号化対象のWebサイトの閲覧でブラウザの証明書警告が発生しています。
・InterScan Web Security Virtual Appliance (以下、IWSVA) 6.5 Service Pack 2からService Pack 3へ移行
・InterScan Web Security Suite(以下、IWSS) 6.5 Linux版 Patch 3をRedHat Enterprise Linux 8環境に新規インストール
確認すると、証明書のRSAキー長が1024bitとなっており、iOS 13/macOS 10.15以降で強化された証明書セキュリティ要件を満たしていないことが原因のようです。
こちらのRSAキー長が1024bitとなる事象は、IWSVA Service Pack 2 Patch 3 build 1737以降またはIWSS 6.5 Patch 2 build 1399以降で修正されているとの認識ですが、IWSVA 6.5 Service Pack 3またはIWSS 6.5 Patch 3では対応しておりますでしょうか。
はい、対応しております。
IWSVA 6.5 Service Pack 2とIWSS 6.5 Patch 3未満では、HotfixまたはPatchの適用で当該RSAキー長を自動的に2048bitに変更する処置を行っておりました。
一方、以下のケースでは、当該RSAキー長の初期値を本来のデフォルト値である1024bitとしております。
・IWSVA 6.5 Service Pack 3の新規インストールまたはIWSVA 6.5 Service Pack 3へのアップグレード
・IWSS 6.5 Patch 3の"RedHat Enterprise Linux 8.x向け新規インストールパッケージ"による新規インストール
ご不便をお掛けいたしますが、IWSVA 6.5 Service Pack 3/IWSS 6.5 Patch 3においても当該RSAキー長を2048bitとして運用される場合は、以下の手順で設定変更をお願いいたします。
1. rootユーザとしてIWSS/IWSVAのLinuxコンソールにログインします。 2. 次のコマンドを使用して、すべてのIWSS/IWSVAサービスを停止します。 # /etc/iscan/rcIwss stop 3. 次のコマンドを使用して、現在の再署名された証明書のキャッシュを削除します。 # cd /var/iwss/https/certstore/cache/ # rm -f resigned_cert 4. 「/etc/iscan/intscan.ini」ファイルを開き、[https-scanning] セクションの次のキーの値を変更します。 例)2048bitに変更する場合 rsa_length=2048 注意: これにより最大RSAキー長が2048bitに設定されます。 初期値の1024bitから2048bitに変更される場合、多くのHTTPSサイトを同時に復号化すると、より多くのCPUコアが必要になることがあります。 その場合はCPUコア数を3倍にすることをお勧めします。 既に既存環境で2048bitで運用されており、CPU負荷に問題が無い場合は、特にCPUコア数の増設は不要です。 5. 次のコマンドを使用して、すべてのIWSVAサービスを再起動します。 # /etc/iscan/rcIwss start
