概要
Deep Security Agent (以下、DSA) にて、侵入防御機能を使用し、HTTPS 通信の検査をしています。TLS/SSL クライアント証明書を使用したクライアント認証も行っているのですが、環境によっては通信が DSA によってブロックされてしまいます (例. Microsoft IIS)。原因と対応策について教えてください。
詳細
原因
上記のような事象は、以下原因によって発生します。
- DSA が TLS/SSL の再ネゴシエーション (Re-Negotiation) をサポートしていない
- 対象の Web サーバが、クライアント認証を再ネゴシエーション時に行う仕様を持っている場合
一部のDSA では TLS/SSL の再ネゴシエーションをサポートしていません。そのため、初回のハンドシェイクが完了後、サーバから送信される Hello Request メッセージは DSA によってブロックされます。
そして、証明書によるクライアント認証を行うよう設定している Web サーバ側が、クライアントへの Certificate Request メッセージを初回のハンドシェイク内で送信せず、再ネゴシエーション時に送信する仕様を持っている場合は、再ネゴシエーションが成功しないため、結果として通信ができない、という事象が発生します。
下記のDSAでは TLS/SSL の再ネゴシエーションをサポートしているため、上記のようなブロック動作は行われません。よって、対象の環境においても、上記のような事象は発生しません。
DSA 12.0 (Update 6 以降)
DSA 20.0
下記のDSAでは TLS/SSL の再ネゴシエーションをサポートしているため、上記のようなブロック動作は行われません。よって、対象の環境においても、上記のような事象は発生しません。
DSA 12.0 (Update 6 以降)
DSA 20.0
回避策/対応策
Microsoft IIS などをご利用の場合は、以下回避策の実施をご検討ください。
- バイパスルールの利用
- 上記のような仕様を持たない Web サーバの利用
- 上記DSAへのバージョンアップ
ご利用の Web サーバの仕様や設定方法に関する詳細は、Web サーバベンダーにお問い合わせください。
