Help
Blogs

Bloquer les pages web non autorisées avec certificate inspection sans rupture SSL

alainm
Staff
Staff
‎07-26-2018 02:36 AM

Dans certains cas d’architectures, si vous souhaitez inspecter les flux HTTPS vous ne pourrez pas effectuer de rupture protocolaire, et vous ne pourrez donc pas utiliser le CA FortiGate pour inspecter le trafic HTTPS.

Néanmoins, on souhaite quand même pouvoir contrôler le trafic WEB. Ce que nous voulons surtout éviter, c'est l'apparition d'un avertissement dans le navigateur du client nous indiquant que le certificat est invalide.

Pour cela, nous devons utiliser le certificate-inspection du profil SSL Inspection. Ce profil inspecte uniquement la partie publique du certificat de chaque page Web pour vérifier si ce domaine est autorisé dans le contrôle de navigation ou non.

Dans la configuration présentée, nous allons créer une règle utilisant le profil défault du webfilter et le certificate-Inspection du profil d'inspection.

Exemple:

MessageImages_TinyMce_35a31dec-9015-4a88-831c-363e19a31703.jpg

Le problème est que lorsqu'un utilisateur navigue sur une page Web non autorisée, l'erreur de certificat non valide suivante apparaît :

MessageImages_TinyMce_13454a06-8b37-41a5-aedb-afb0dd12ccb2.jpg

Pourquoi? Si en théorie nous n'inspectons que les certificats sans réaliser de rupture protocolaire.

La raison en est que par défaut, la configuration du profil de webfiltering lors de la détection d'une page Web non autorisée envoie un message  "Page web bloquée" au navigateur du client.

Lors de l'envoi d'un message d’avertissement/remplacement, vous devez interrompre le tunnel. Ainsi, à chaque fois qu'une page Web est bloquée, l'utilisateur verra la notification de certificat non valide.

MessageImages_TinyMce_2d76befe-6bb5-42fa-a1d9-bdfe03d72e1a.jpg
Pour éviter ce problème, deux options sont possibles:

  • Charger le CA utilisé par le FortiGate sur le client (ce qu’on ne souhaite pas ici)
  • N'envoyer aucun message de blocage pour signaler que le site Web est bloqué.

Cette deuxième option est celle que nous allons expliquer ici :

Désactiver le message de remplacement

Le profil de webfilter doit être en mode proxy, cette configuration n'est pas supportée en mode flow-based.

Exécutez les commandes suivantes en CLI:

config webfilter profile

    edit default

        set inspection-mode proxy

       set https-replacemsg disable

   end

end


Après un test rapide, nous pouvons qu'il n'y a plus d'avertissement de certificat invalide.

MessageImages_TinyMce_07dd22a0-71f4-46eb-915e-161abb7b87c6.jpg

La raison est que FortiGate fermera directement la connexion sans envoyer de message à l'utilisateur.
Notez qu'il s'agit d'une restriction du protocole SSL et non de l'implémentation des produits Fortinet.

0 Kudos
Popular Articles
Broad. Integrated. Automated.

The Fortinet Security Fabric brings together the concepts of convergence and consolidation to provide comprehensive cybersecurity protection for all users, devices, and applications and across all network edges.

Social Media
Security Research
Company
News & Articles
Contact Us

Copyright 2025 Fortinet, Inc. All Rights Reserved.