はじめに
このドキュメントでは、明示的な HTTPS 要求に対して、警告、確認応答、エンド ユーザ通知(EUN)ページが正常に表示されない場合に、Cisco Web セキュリティ アプライアンス(WSA)で発生する問題について説明します。この問題の回避策についても説明します。
前提条件
要件
このドキュメントの情報は、次を前提とします。
- WSA プロキシ アドレスが明示モードで展開されています。
- HTTPS 要求が、ブロックされている、警告が表示されている、またはユーザによる確認応答が必要です。
使用するコンポーネント
このドキュメントの情報は、Cisco WSA に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
問題
明示的な HTTPS 要求に対して、警告、確認応答、または EUN ページが正しく表示されません。ブラウザに不完全な通知ページが表示される、またはページがまったく表示されず、代わりにエラーページが表示されます。
明示的な HTTPS 要求を使用する場合、そのようなページに関していくつか問題があります。プロキシを使用するようにブラウザを設定すると、HTTPS トラフィックは、HTTP を使用して WSA に送信されます。この要求は、HTTP を使用する HTTPS の形式です。
ブラウザには、WSA が明示的な HTTPS 要求に対して返す HTTP 応答が正しく処理されない既知の問題が 2 つ存在します。明示的な HTTPS 要求が、ブロックされている、警告が表示されている、またはユーザによる確認応答を必要とする場合、WSA は 403 ステータス コードを返します。WSA はこの応答の中に通知のコンテンツを含めます。これは、確認できるように、通常、画面に表示されます。ただし、状況によっては、ブラウザが返されたコンテンツ内の応答を理解できません。
次のようなブラウザの動作が報告されています。
解決方法
このセクションでは、WSA で HTTPS 復号が有効化されている場合に発生するプロセスについて説明します。前述の問題の回避策として、提示されている情報を参照し、システムが適切に設定されていることを確認してください。
明示的な HTTPS 要求が送信された場合のトラフィック フローの例を次に示します。
- HTTPS 復号を有効にすると、WSA はまず要求を復号ポリシーに対して照合します。
- 要求が PASSTHROUGH とマークされると、トラフィックは許可されます(警告または EUN なし)。
- 要求が DECRYPTED とマークされると、アクセス ポリシーに対して要求が照合されます。このような場合、アクセス ポリシーが WARN または BLOCK に設定されると、EUN ページが正常に表示されます。確認応答の場合、残念ながらユーザは、HTTP ページおよび確認応答に移動する必要があります。これには、プロキシさらには HTTPS サイトに移動する必要があります。
- WSA は、タイマーが期限切れになるまでクライアントの IP アドレスを記憶しており、別の確認応答は必要ありません。