GUARDIANWALL WebFilter / WEBGUARDIAN Ver 4.1 にて「SSL デコード機能」を有効にした場合、
製品にて SSL を終端後、クライアントにはウェブページの証明書ではなく、製品の証明書を提示します。
その際、HSTS を有効にしているウェブページでは証明書の不一致エラーを
例外処理することができなくなり、アクセスできません。
本事象については、以下のいずれかの方法にて解消できます。
①「サーバー証明書発行機能」を利用し、アクセス先サイトにあわせた証明書を
GUARDIANWALL WebFilter / WEBGUARDIAN Ver 4.1 でリアルタイムに発行する
②HSTS を有効にしているサイトでは「SSL デコード機能」を無効にする
◆設定手順
①「サーバー証明書発行機能」を利用し、アクセス先サイトにあわせた証明書を
GUARDIANWALL WebFilter / WEBGUARDIAN Ver 4.1 でリアルタイムに発行する
※以下では「GUARDIANWALL WebFilter」の設定例を記載しています。
1.サーバー証明書発行機能の設定
管理画面[システム]→[SSL デコード設定]→[基本設定]タブより、
「サーバー証明書発行」を「オン」に設定してください。
2.クライアントでの証明書インポート
マニュアル「検査サーバー 利用の手引き」→「(2) サーバー証明書発行機能」→「(c) クライアントの設定」をご参照のうえ、
GUARDIANWALL WebFilter / WEBGUARDIAN の証明書を「信頼できるルート証明機関」としてインポートしてください。
①にて対応した場合はすべての HSTS サイトにて SSL デコードが正常に行われ、
証明書エラーが発生しない状態となります。また、アクセスログにも SSL デコード後の URL が記録されます。
②HSTS を有効にしているサイトでは「SSL デコード機能」を無効にする
※以下では「GUARDIANWALL WebFilter」の設定例を記載しています。
1.URL グループの作成
管理画面[ポリシー]→[URL グループ]から以下の URL グループを作成してください。
------
グループ名 |
: |
hsts_url |
URLリスト |
: |
ja.wikipedia.org:443 |
|
|
※ HSTS が有効になっているサイトを「ホスト名:443」として追加してください。 |
-----
2.SSL デコード機能の無効化
管理画面[システム]→[SSL デコード設定]→[ルール]タブより以下のデコードルールを作成してください。
-----
ID |
: |
1(任意) |
ルール名 |
: |
hsts_rule(任意) |
URL |
: |
hsts_url |
アクション |
: |
デコードなし |
-----
②にて対応した場合は指定したサイトには SSL デコードが行われないため、
暗号化された状態でパケットをリレーし、アクセスログにはホスト名のみの記録となります。