WSA の警告、確認、EUN ページで明示的な HTTPS リクエストが正しく表示されない

はじめに

このドキュメントでは、明示的な HTTPS 要求に対して、警告、確認応答、エンド ユーザ通知（EUN）ページが正常に表示されない場合に、Cisco Web セキュリティ アプライアンス（WSA）で発生する問題について説明します。この問題の回避策についても説明します。

前提条件

要件

このドキュメントの情報は、次を前提とします。

• WSA プロキシ アドレスが明示モードで展開されています。
• HTTPS 要求が、ブロックされている、警告が表示されている、またはユーザによる確認応答が必要です。

使用するコンポーネント

このドキュメントの情報は、Cisco WSA に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

問題

明示的な HTTPS 要求に対して、警告、確認応答、または EUN ページが正しく表示されません。ブラウザに不完全な通知ページが表示される、またはページがまったく表示されず、代わりにエラーページが表示されます。

明示的な HTTPS 要求を使用する場合、そのようなページに関していくつか問題があります。プロキシを使用するようにブラウザを設定すると、HTTPS トラフィックは、HTTP を使用して WSA に送信されます。この要求は、HTTP を使用する HTTPS の形式です。

ブラウザには、WSA が明示的な HTTPS 要求に対して返す HTTP 応答が正しく処理されない既知の問題が 2 つ存在します。明示的な HTTPS 要求が、ブロックされている、警告が表示されている、またはユーザによる確認応答を必要とする場合、WSA は 403 ステータス コードを返します。WSA はこの応答の中に通知のコンテンツを含めます。これは、確認できるように、通常、画面に表示されます。ただし、状況によっては、ブラウザが返されたコンテンツ内の応答を理解できません。
次のようなブラウザの動作が報告されています。

• Internet Explorer バージョン ６（IE6）および一部の IE7 を使用すると、これらの要求は HTML 応答のすべてのコンテンツを生成できません。ブラウザは最初の数バイト（最初のパケット内のコンテンツ）のみを評価し、その他を無視します。そのような場合、数個の文字のみ表示する不完全なページが表示されます。
  

  注：この場合、WSA応答からデフォルトの通知ページを縮小することをお勧めします。EUN ページの編集方法に関する詳細については、『WSA ユーザ ガイド』の「IronPort 通知ページの編集」セクションを参照してください。

• IE8 および Mozilla Firefox リリース 3 の新しいバージョンを使用すると、WSA が返す応答をブラウザが完全に無視し、独自のエラーページで応答をマスクします。このブラウザの動作によって、403 通知の目的が阻害され、機能が中断されます。

解決方法

このセクションでは、WSA で HTTPS 復号が有効化されている場合に発生するプロセスについて説明します。前述の問題の回避策として、提示されている情報を参照し、システムが適切に設定されていることを確認してください。

明示的な HTTPS 要求が送信された場合のトラフィック フローの例を次に示します。

• HTTPS 復号を有効にすると、WSA はまず要求を復号ポリシーに対して照合します。
  
  
• 要求が PASSTHROUGH とマークされると、トラフィックは許可されます（警告または EUN なし）。
  
  
• 要求が DECRYPTED とマークされると、アクセス ポリシーに対して要求が照合されます。このような場合、アクセス ポリシーが WARN または BLOCK に設定されると、EUN ページが正常に表示されます。確認応答の場合、残念ながらユーザは、HTTP ページおよび確認応答に移動する必要があります。これには、プロキシさらには HTTPS サイトに移動する必要があります。
  
  
• WSA は、タイマーが期限切れになるまでクライアントの IP アドレスを記憶しており、別の確認応答は必要ありません。