我之所以问这个问题,是因为人们可以使用日志来找到一个 https 站点列表,通过计算实施前的访问次数来将其列入白名单。但有一些东西告诉我,情况并非如此,因为如果没有某种 MITM 机制,你就无法阻止 SSL 流量。
事后也可以这样做吗?这样就能尽早发现白名单问题?
答案1
我已经在其他平台上完成了此操作,这是 SSL 检查 - SonicWall 有一个 SSL 检查豁免列表,要用以前访问过的 SSL 主机填充此列表,您需要先配置审核。通常,白名单是您自己的主机,而 SonicWall 对所有出站 SSL 连接执行 MITM。为避免 SSL 信任错误,您必须使用根 CA 颁发的证书,或者需要将本地客户端配置为信任本地 CA。如果您使用来自本地 CA 的证书,它可能会引发 wget、curl 等的一些错误。编译白名单可能没有意义,因为即使在这些站点内部,他们也会从其他 SSL 端点调用 CSS 元素。