WSA-Warnung, -Bestätigung und -EUN-Seiten werden bei expliziten HTTPS-Anforderungen nicht richtig angezeigt

Download-Optionen

  • PDF     (236.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (92.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (76.6 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. Juni 2014
Dokument-ID:117805

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird ein Problem beschrieben, das auf der Cisco Web Security Appliance (WSA) auftritt, wenn Warnungen, Bestätigungen oder Endbenutzerbenachrichtigungen (EUN) für explizite HTTPS-Anforderungen nicht korrekt angezeigt werden. Eine Problemumgehung ist ebenfalls vorgesehen.

Voraussetzungen

Anforderungen

Bei den Informationen in diesem Dokument wird Folgendes vorausgesetzt:

  • Die WSA-Proxyadressen werden im expliziten Modus bereitgestellt.
  • Die HTTPS-Anfragen werden entweder blockiert, es wird eine Warnung ausgegeben oder die Bestätigung des Benutzers wird benötigt.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Cisco WSA.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Problem

Die Seiten Warning (Warnung), Acknowledgement (Bestätigung) oder EUN (EUN) werden für explizite HTTPS-Anforderungen nicht richtig angezeigt. Der Browser zeigt eine unvollständige Benachrichtigungsseite oder gar keine Seite an und zeigt stattdessen eine Fehlerseite an.

Bei expliziten HTTPS-Anforderungen sind diese Seiten von mehreren Problemen umgeben. Wenn Sie Ihren Browser für die Verwendung eines Proxys konfigurieren, wird der HTTPS-Datenverkehr über HTTP an die WSA weitergeleitet. Diese Anforderung wird als HTTPS über HTTP formatiert.

Es gibt zwei bekannte Probleme mit Browsern, die die HTTP-Antworten, die die WSA für explizite HTTPS-Anforderungen zurückgibt, nicht korrekt verarbeiten. Wenn eine explizite HTTPS-Anfrage blockiert wird, eine Warnung ausgibt oder eine Bestätigung durch den Benutzer erfordert, gibt die WSA einen 403-Statuscode zurück. Innerhalb dieser Antwort enthält die WSA den Inhalt der Benachrichtigung, der normalerweise auf dem Bildschirm angezeigt werden sollte, damit er angezeigt werden kann. In einigen Fällen kann der Browser jedoch die Antwort innerhalb des zurückgegebenen Inhalts nicht verstehen.
Dies ist das Verhalten des Browsers, das beobachtet wurde:

  • Wenn Internet Explorer 6 (IE6) und einige Versionen von IE7 verwendet werden, können diese Anforderungen den vollständigen Inhalt der HTML-Antwort nicht wiedergeben. Der Browser erkennt nur die ersten Bytes (den Inhalt des ersten Pakets) und ignoriert den Rest. In diesem Fall wird eine unvollständige Seite angezeigt, auf der nur wenige Zeichen angezeigt werden.

    Hinweis: In diesem Fall empfiehlt Cisco, die Standardbenachrichtigungsseite für die WSA-Antwort zu verkleinern. Weitere Informationen zum Bearbeiten der EUN-Seite finden Sie im Abschnitt Bearbeiten von IronPort-Benachrichtigungsseiten des WSA-Benutzerhandbuchs.

  • Wenn IE8 und neuere Versionen von Mozilla Firefox Release 3 verwendet werden, ignoriert der Browser vollständig die Antwort, die die WSA zurückgibt, und maskiert sie mit einer eigenen Fehlerseite. Dieses Browserverhalten läuft dem Zweck der 403-Benachrichtigung zuwider und verursacht eine Unterbrechung der Funktion.

Lösung

In diesem Abschnitt wird der Prozess beschrieben, der bei aktivierter HTTPS-Entschlüsselung auf der WSA ausgeführt wird. Verwenden Sie zur Behebung des oben beschriebenen Problems die bereitgestellten Informationen, um sicherzustellen, dass Ihr System entsprechend konfiguriert ist.

Das folgende Beispiel zeigt den Datenverkehrsfluss beim Senden einer expliziten HTTPS-Anforderung:

  • Wenn die HTTPS-Entschlüsselung aktiviert ist, überprüft die WSA zuerst die Anforderung anhand der Entschlüsselungsrichtlinien.

  • Wenn die Anforderung für PASSTHROUGH markiert ist, wird der Datenverkehr zugelassen (keine Warnung oder EUN).

  • Wenn die Anforderung als ENTSCHLÜSSELT markiert ist, wird sie anhand der Zugriffsrichtlinien validiert. Wenn die Zugriffsrichtlinie in diesem Fall so konfiguriert ist, dass eine WARNUNG oder BLOCKIERUNG ausgelöst wird, wird die EUN-Seite richtig angezeigt. Leider muss der Benutzer zur Bestätigung zur HTTP-Seite und zur Bestätigung navigieren. Hierfür muss er über den Proxy und anschließend zur HTTPS-Site navigieren.

  • Die WSA speichert die Client-IP-Adresse und benötigt erst nach Ablauf des Zeitraums eine weitere Bestätigung.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
12-Jun-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Kei Ozaki and Zack Shaikh
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.