キヤノンITソリューションズ株式会社
GUARDIANWALLシリーズ
GUARDIANWALL MailSuite GUARDIANWALL WebFilter
サポート情報(GUARDIANWALLシリーズ)
  • 文字サイズ変更
  • S
  • M
  • L
  • No : 976
  • 公開日時 : 2017/12/14 11:50
  • 印刷

ウェブページにアクセスしたときに「HTTP Script Transport Security が使用されているため接続できません」と表示されアクセスできません

回答

GUARDIANWALL WebFilter / WEBGUARDIAN Ver 4.1 にて「SSL デコード機能」を有効にした場合、
製品にて SSL を終端後、クライアントにはウェブページの証明書ではなく、製品の証明書を提示します。

その際、HSTS を有効にしているウェブページでは証明書の不一致エラーを
例外処理することができなくなり、アクセスできません。
 
本事象については、以下のいずれかの方法にて解消できます。
 
①「サーバー証明書発行機能」を利用し、アクセス先サイトにあわせた証明書を
GUARDIANWALL WebFilter / WEBGUARDIAN Ver 4.1 でリアルタイムに発行する

②HSTS を有効にしているサイトでは「SSL デコード機能」を無効にする
 
 

◆設定手順

①「サーバー証明書発行機能」を利用し、アクセス先サイトにあわせた証明書を
GUARDIANWALL WebFilter / WEBGUARDIAN Ver 4.1 でリアルタイムに発行する
※以下では「GUARDIANWALL WebFilter」の設定例を記載しています。
 
1.サーバー証明書発行機能の設定
管理画面[システム]→[SSL デコード設定]→[基本設定]タブより、
「サーバー証明書発行」を「オン」に設定してください。
 
2.クライアントでの証明書インポート
マニュアル「検査サーバー 利用の手引き」→「(2) サーバー証明書発行機能」→「(c) クライアントの設定」をご参照のうえ、
GUARDIANWALL WebFilter / WEBGUARDIAN の証明書を「信頼できるルート証明機関」としてインポートしてください。
 
①にて対応した場合はすべての HSTS サイトにて SSL デコードが正常に行われ、
証明書エラーが発生しない状態となります。また、アクセスログにも SSL デコード後の URL が記録されます。
 
 
②HSTS を有効にしているサイトでは「SSL デコード機能」を無効にする
※以下では「GUARDIANWALL WebFilter」の設定例を記載しています。
 
1.URL グループの作成
管理画面[ポリシー]→[URL グループ]から以下の URL グループを作成してください。

------
グループ名 hsts_url
URLリスト ja.wikipedia.org:443
    ※ HSTS が有効になっているサイトを「ホスト名:443」として追加してください。
-----
 
2.SSL デコード機能の無効化
管理画面[システム]→[SSL デコード設定]→[ルール]タブより以下のデコードルールを作成してください。

-----
ID 1(任意)
ルール名 hsts_rule(任意)
URL hsts_url
アクション デコードなし
-----
 
②にて対応した場合は指定したサイトには SSL デコードが行われないため、
暗号化された状態でパケットをリレーし、アクセスログにはホスト名のみの記録となります。
 
対象製品・バージョン
GUARDIANWALL Webセキュリティ, WEBGUARDIAN(旧製品) > Ver. 4.1.00

【 よりよいサポート情報のご提供のため、アンケートにご協力ください! 】疑問や問題は解決されましたか?

よろしければ、理由をお聞かせください。(手順3がわかりにくかった、手順を実施してもエラーが解消されなかった、など) ご質問をお送りいただいても、回答することができません。ご注意ください。