我是否应该允许任何 URL 来验证 SSL 证书?

tag-icon tag-icon networking firewall ssl-certificate ssl-certificate-errors
我是否应该允许任何 URL 来验证 SSL 证书?

我正在配置我公司的网络。

访问有几个不同的级别,决定用户可以访问哪些类型的网站。

最低访问级别的用户只能访问少数网站,因此我创建了一个包含大约 10 个 URL 的白名单,并设置了 Web 过滤器以拒绝连接到列表中的任何 URL。

它按预期工作,除了几个网站,如bizagi.com。当我尝试连接到此 URL 时,尽管它已列入白名单,但我收到以下错误:

SSL 错误代码:BAD_CERT_DOMAIN

问题肯定出在 Web 过滤器上,因为如果我将其默认操作更改为允许未列入白名单的站点,它就会按预期工作。

我知道我可以添加一个例外,但这听起来不是正确的做法。

所以,我的问题是:我是否应该将任何 URL 列入白名单以便 SSL 证书能够按预期进行验证?如果有的话,是哪些?如果没有,我还能做什么(除了添加例外,呵呵)?

PS: 我正在使用 Cyber​​oam CR15ing

提前致谢。

答案1

我怀疑代理以某种方式代理 SSL 连接,并且没有处理信噪比适当地。SSL实验室表示该网站需要 SNI,我之前就见过这种情况 —— 非 SNI 客户端最终会看到基本证书,而 bizagi 托管在 Azure 中。

$ openssl s_client -connect www.bizagi.com:443
---
Certificate chain
 0 s:/CN=*.azurewebsites.net
   i:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2
 1 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2
   i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root

对比

$ openssl s_client -connect www.bizagi.com:443 -servername www.bizagi.com
CONNECTED(00000003)
---
Certificate chain
 0 s:/C=GB/ST=Buckinghamshire/L=Gerrards Cross,/O=BIZAGI LIMITED/CN=*.bizagi.com
   i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4
   i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5

相关内容