Dans certains cas d’architectures, si vous souhaitez inspecter les flux HTTPS vous ne pourrez pas effectuer de rupture protocolaire, et vous ne pourrez donc pas utiliser le CA FortiGate pour inspecter le trafic HTTPS.
Néanmoins, on souhaite quand même pouvoir contrôler le trafic WEB. Ce que nous voulons surtout éviter, c'est l'apparition d'un avertissement dans le navigateur du client nous indiquant que le certificat est invalide.
Pour cela, nous devons utiliser le certificate-inspection du profil SSL Inspection. Ce profil inspecte uniquement la partie publique du certificat de chaque page Web pour vérifier si ce domaine est autorisé dans le contrôle de navigation ou non.
Dans la configuration présentée, nous allons créer une règle utilisant le profil défault du webfilter et le certificate-Inspection du profil d'inspection.
Exemple:

Le problème est que lorsqu'un utilisateur navigue sur une page Web non autorisée, l'erreur de certificat non valide suivante apparaît :

Pourquoi? Si en théorie nous n'inspectons que les certificats sans réaliser de rupture protocolaire.
La raison en est que par défaut, la configuration du profil de webfiltering lors de la détection d'une page Web non autorisée envoie un message "Page web bloquée" au navigateur du client.
Lors de l'envoi d'un message d’avertissement/remplacement, vous devez interrompre le tunnel. Ainsi, à chaque fois qu'une page Web est bloquée, l'utilisateur verra la notification de certificat non valide.

Pour éviter ce problème, deux options sont possibles:
- Charger le CA utilisé par le FortiGate sur le client (ce qu’on ne souhaite pas ici)
- N'envoyer aucun message de blocage pour signaler que le site Web est bloqué.
Cette deuxième option est celle que nous allons expliquer ici :
Désactiver le message de remplacement
Le profil de webfilter doit être en mode proxy, cette configuration n'est pas supportée en mode flow-based.
Exécutez les commandes suivantes en CLI:
config webfilter profile
edit default
set inspection-mode proxy
set https-replacemsg disable
end
end
Après un test rapide, nous pouvons qu'il n'y a plus d'avertissement de certificat invalide.

La raison est que FortiGate fermera directement la connexion sans envoyer de message à l'utilisateur.
Notez qu'il s'agit d'une restriction du protocole SSL et non de l'implémentation des produits Fortinet.