SSL Certificate Inspection 에서 SNI 체크 방식 설명

SSL Certificate Inspection 에서는 SSL handshake에 있는 SNI(Server Name Indication)를 확인하거나, SNI가 없으면 인증서의 CN 또는 SAN 필드를 확인한다.

만약 SNI와 CN 값이 다를 경우, CN을 사용한다.

https://ebt-forti.tistory.com/284

 

경우가 따라 SNI에서 확인된 서버의 이름(FQDN)과 CN 서버 이름이 다른 경우가 있다.

 

위 예처럼 youtube.com 의 경우 CN 필드 값은 "*.google.com" 이다.

이 같은 경우 SNI를 지원하지 않는 브라우저에서는 FortiGate가 SSL Certificate inspection을 사용하는 경우, youtube.com이 아니라 google.com으로 인식 할 수 있다.

 

이와 같이 SNI와 CN이 다른 경우 FortiGate가 동작하는 방식을 아래의 CLI 명령어로 정의 한다.

 

• enable : 만약 SNI와 CN 또는 SAN 필드의 값이 다를 경우, FortiGate는 CN 또는 SAN 필드의 값 사용
• strict : 만약 SNI와 CN 또는 SAN 필드의 값이 다를 경우, FortiGate는 해당 연결 close
• disable : 항상 CN 또는 SAN 필드의 값만 사용. SNI 확인 안함