FortiGate의 SSL Deep(Full) Inspection에서 Untrusted SSL certificates(신뢰받지 않은 인증서) 설정에 대한 설명이다.
아래와 같이 "Multiple Clients Connecting to Multiple Servers" 가 선택되고, Full SSL insepction인 경우 신뢰받지 못한 인증서에 대한 제어(Allow/Block/Ignore) 설정이 가능하다. 신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우 접속시 브라우저에 인증서 경고창이 표시된다.
◼ Block
신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우 FortiGate에서 차단 된다.
◼ Allow
신뢰받지 않은 인증서(Untrusted SSL certificates)의 경우, FortiGate가 내장 Fortinet_CA_Untrusted 인증서로 서명된 임시 인증서를 생성 클라이언트에 보낸다.
브라우저는 여전히 신뢰받지 못한 인증서로 경고창이 표시되고, 인증서는 발급자가 "Fortinet_CA_Untrusted" 임을 알 수 있다.
◼ Ignore
서버의 인증서 상태(trusted 또는 untrusted)에 상관없이 모든 인증서를 Fortinet_CA_SSL 인증서로 서명된 인증서를 생성하여 클라이언트로 보낸다. Full(Deep) Inspection을 사용하기 때문에, 사용자 브라우저에 "Fortinet_CA_SSL" 인증서를 "신뢰할수 있는 루트 인증기관" 추가된 상태일 것이다.
따라서 신뢰받지 않은 인증서(Untrusted SSL certificates)를 가진 서버의 경우에도, FortiGate가 신뢰받은 CA인증서로 다시 만들어 보내기에 인증서 경고창이 표시 되지 않고 바로 접속 가능하다.
'FortiGate > Security Profile' 카테고리의 다른 글
| Anti-Virus 탐지된 Source IP 자동 격리(Quarantine) (0) | 2022.04.01 |
|---|---|
| FortiGate : 파일의 Hash 값을 이용하여, AV/IPS signature 정보 및 포함된 DB 버전 확인 (0) | 2022.03.23 |
| FortiOS의 NTurbo 기능 (0) | 2022.02.09 |
| v6.4.0 : Botnet IP 와 ISDB 의 통합 (0) | 2021.12.22 |
| Application Control에서 "Monitor" 설정인데 차단 되는 경우 (0) | 2021.12.15 |
댓글