Introdução
Este documento descreve um problema que é encontrado no Cisco Web Security Appliance (WSA) quando as páginas de Aviso, Confirmação ou Notificação de Usuário Final (EUN) não são exibidas corretamente para solicitações HTTPS explícitas. Uma solução alternativa para esse problema também é fornecida.
Pré-requisitos
Requisitos
As informações neste documento supõem que:
- Os endereços proxy WSA são implantados no modo Explícito.
- As solicitações HTTPS são bloqueadas, avisadas ou exigem confirmação do usuário.
Componentes Utilizados
As informações neste documento são baseadas no Cisco WSA.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Problema
As páginas Aviso, Confirmação ou EUN não são exibidas corretamente para solicitações HTTPS explícitas. O navegador exibe uma página de notificação incompleta ou não exibe a página e, em vez disso, exibe uma página de erro.
Há vários problemas que cercam essas páginas quando você usa solicitações HTTPS explícitas. Quando você configura seu navegador para usar um proxy, o tráfego HTTPS é direcionado para o WSA por HTTP. Esta solicitação está formatada como um HTTPS sobre HTTP.
Há dois problemas conhecidos com navegadores que não tratam corretamente as respostas HTTP que o WSA retorna para solicitações HTTPS explícitas. Quando uma solicitação HTTPS explícita é bloqueada, avisada ou exige a confirmação do usuário, o WSA retorna um código de status 403. Nesta resposta, o WSA inclui o conteúdo de notificação que normalmente deve ser renderizado na tela para que seja visível. No entanto, em alguns casos, o navegador não consegue entender a resposta dentro do conteúdo retornado.
Este é o comportamento do navegador que é observado:
- Quando o Internet Explorer Versão 6 (IE6) e algumas versões do IE7 são usados, essas solicitações não conseguem renderizar o conteúdo completo da resposta HTML. O navegador só honra os primeiros bytes (o conteúdo dentro do primeiro pacote) e ignora o resto. Nesses casos, você verá uma página incompleta que exibe apenas alguns caracteres.
Observação: se esse for o caso, a Cisco recomenda que você reduza a página de notificação padrão da resposta WSA. Para obter mais informações sobre como editar sua página EUN, consulte a seção Edição de páginas de notificação do IronPort do Guia do usuário do WSA.
- Quando o IE8 e versões mais recentes do Mozilla Firefox Release 3 são usados, o navegador ignora completamente a resposta que o WSA retorna e a mascara com sua própria página de erro. Esse comportamento do navegador anula a finalidade da notificação 403 e causa interrupções com o recurso.
Solução
Esta seção descreve o processo que ocorre quando a Descriptografia HTTPS está habilitada no WSA. Como uma solução alternativa para o problema descrito anteriormente, use as informações fornecidas para garantir que seu sistema seja configurado de acordo.
Aqui está um exemplo do fluxo de tráfego quando uma solicitação HTTPS explícita é enviada:
- Quando a Descriptografia HTTPS está habilitada, o WSA primeiro valida a solicitação em relação às políticas de Descriptografia.
- Se a solicitação estiver marcada para PASSTHROUGH, o tráfego será permitido (sem aviso ou EUN).
- Se a solicitação for marcada como DESCRIPTOGRAFADA, ela será validada de acordo com as políticas de Acesso. Nesse caso, se a política de acesso estiver configurada para AVISAR ou BLOQUEAR, a página EUN será exibida corretamente. Infelizmente, para Reconhecimento, o usuário deve navegar para a página HTTP e Reconhecer, o que exige a navegação pelo proxy e, em seguida, para o site HTTPS.
- O WSA lembra o endereço IP do cliente e não requer outra confirmação até que o temporizador expire.
Feedback