《分享》Pharming protection與HTTPS測試站台 | |
客戶來電表示,透過修改電腦的hosts檔案來指定某FQDN指向客戶的測試IP站台後,
該電腦上只有HTTP網站可以順利開啟此測試IP站台的網頁,
而HTTPS網頁則會導到正式站台的IP而不是測試IP。
這部分已在外部線路測試過,一切正常,HTTP與HTTPS網站都可以以導轉到測試IP順利開啟,
只有接在內部XG網路環境中才會發生!?
但客戶端的防火牆規則並無啟用HTTPS scan,
但HTTPS站台卻被XG強迫導向到真正的IP站台?著實令人不解...
測試後發現,Web Protection中的pharming protection(網址嫁接保護)是個全域設定,
即便沒有任何規則啟用HTTPS scan,該設定還是會主動生效,
強迫檢查憑證是否正確,然後將錯的網址導轉到真正網址。
關掉此功能,即可順利進行測試站台的測試。
進一步測試,
若我們指定某個FQDN(例如aaa.com)指向某個憑證站台IP例如gmail的172.217.27.133,
在開啟pharming protection的情況下,會因這個aaa.com站台的憑證不正確而無法開啟。
但在取消pharming protection後,該網頁在同意繼續瀏覽後就可以開啟了∼
Pharming protection雖然安全,但也會因安全問題,對臨時性or測試性的HTTPS站台產生干擾。
Pharming protection目前還沒有例外放行的policy可設定,
遇到衝突時,就先停用pharming protection吧...
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|