SSL Certificate Inspection 에서는 SSL handshake에 있는 SNI(Server Name Indication)를 확인하거나, SNI가 없으면 인증서의 CN 또는 SAN 필드를 확인한다.
https://ebt-forti.tistory.com/284
경우가 따라 SNI에서 확인된 서버의 이름(FQDN)과 CN 서버 이름이 다른 경우가 있다.
위 예처럼 youtube.com 의 경우 CN 필드 값은 "*.google.com" 이다.
이 같은 경우 SNI를 지원하지 않는 브라우저에서는 FortiGate가 SSL Certificate inspection을 사용하는 경우, youtube.com이 아니라 google.com으로 인식 할 수 있다.
이와 같이 SNI와 CN이 다른 경우 FortiGate가 동작하는 방식을 아래의 CLI 명령어로 정의 한다.
- enable : 만약 SNI와 CN 또는 SAN 필드의 값이 다를 경우, FortiGate는 CN 또는 SAN 필드의 값 사용
- strict : 만약 SNI와 CN 또는 SAN 필드의 값이 다를 경우, FortiGate는 해당 연결 close
- disable : 항상 CN 또는 SAN 필드의 값만 사용. SNI 확인 안함
'FortiGate > Security Profile' 카테고리의 다른 글
| Application Control에서 "Monitor" 설정인데 차단 되는 경우 (0) | 2021.12.15 |
|---|---|
| v6.4.3 이상에서 부터 IPS Intelligent-mode옵션 사라짐 (0) | 2021.12.10 |
| One-Arm Sniffer 모드 (0) | 2021.11.15 |
| IPS : 'socket size' 와 'fail-open' (0) | 2021.10.28 |
| SSL Deep Inspection 사용시 GoToMeeting 안되는 경우 (0) | 2021.08.30 |
댓글