Работа ssl inspection на АТР500

MPerov
MPerov Публикаций: 105  Ally Member
First Anniversary 10 Comments
При использовании ssl inspection на АТР500, наблюдается некорректная работа (или вообще не работают) приложений и сайтов на ios и android устройствах, подключенных к внутренней wifi сети.
Пример неработающих приложений - Gmail, Яндекс.Такси, Сбербак (и др банки).
Сертификат естественно на мобильных устройствах установлен...

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Здравствуйте.

    Проблему воспроизвели у себя и отправили запрос разработчикам на изучение.
    О результатах сообщу.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Проблему планируется решить с выпуском версии 4.60.
    До выпуска 4.60 можем предложить временный обходной сценарий настройки.
    В разделе Monitor > UTM Statistics > SSL Inspection > Certificate Cache List можно увидеть список всех сертификатов в кеше шлюза. Для решения проблемы с приложениями надо выбрать нужный сертификат и нажать на кнопку "Add to Exclude List." для добавления его в список исключений. После чего это приложение будет работать.

  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    Жду релиза 4.60 - после обновления отпишусь о результате.
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    Приветствую.
    Обновились до 4.60.
    Проблема осталась.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Да, я тоже проверил. Уточняю с разработчиками причину такого поведения. 
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    После дополнительного изучения этой проблемы оказалось, что она вызвана тем фактом, что многие (возможно даже большинство) приложения не проверяют сертификат.
    Пока единственным решением может быть тот обходной сценарий, который я предлагал ранее. Мы планируем добавить эту проблему в список идей на будущее для наших устройств, но пока не можем обещать ничего конкретного.
  • MPerov
    MPerov Публикаций: 105  Ally Member
    First Anniversary 10 Comments
    Для информации - в устройствах Palo Alto данный функционал работает "на ура"... значит приложения все-таки как-то проверяют сертификаты...