阻断/认证页面无法点击继续

问题描述

  1. 当用户访问的网页被WebFilter功能阻断(或开启了防火墙用户认证)时,会在浏览器中弹出WebFilter阻断(或用户登录)页面,由于默认情况下FortiGate阻断页面使用的是FortiGate的自带证书(未被客户端信任的CA颁发的证书),会导致浏览器提示网页不安全(以Chrome为例)。

    image-20230605164511277

    image-20230605162445470

  2. 该提示信息有时可以跳过,从而显示出FortiGate的阻断(或用户登录)页面。

    image-20230605162405426

    image-20230605162612366

  3. 但有时会出现没有点击继续的按钮,导致无法继续显示UTM阻断页面(或用户登录页面),即使使用键入“thisisunsafe”的方法也无法继续。

    image-20230605163151835

问题原因

这是由于访问的网站开启了HSTS功能。

HSTS介绍

HTTP严格传输安全(HTTP Strict Transport Security)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

用户首次访问某网站是不受HSTS保护的。这是因为首次访问时,浏览器还未收到网站的HSTS,所以仍有可能通过明文HTTP来访问。

另外,如果中间人使用自己的自签名证书来替换网站证书,浏览器会给出警告(FortiGate的UTM阻断页面或登录页面就是此种情况),但是许多用户会忽略警告。HSTS为了解决了这一问题,一旦服务器发送了HSTS字段(HSTS信息被储存在浏览器中),在HSTS老化时间到期前,将不再允许用户忽略警告。这就导致了浏览器除了第1次访问开启HSTS的网站可以点击继续按钮显示出阻断页面(或登录页面),后续再访问此网站时,没有继续按钮显示。

浏览器中的HSTS信息查询

  1. 我们可以在Chrome里的chrome://net-internals/#hsts(Edge为edge://net-internals/#hsts)页面下查询网站的HSTS信息是否被储存在了浏览器中,如下举例,www.taobao.com 网站开启了HSTS,并在某次成功访问的时候被加入了Chrome的HSTS列表,目前还未过期。

    image-20230605165754410

  2. FortiGate开启WebFilter并阻断该网站后,客户端访问该网站时会出现警告页面无法点击继续按钮的情况。

    image-20230605170721032

删除浏览器中的HSTS信息

  1. 在Chrome里的chrome://net-internals/#hsts(Edge为edge://net-internals/#hsts)页面下删除网站的HSTS信息,删除后,无法再查询到该网站的HSTS信息。

    image-20230605170833908

    image-20230605170903353

  2. 客户端再次访问该网站时,警告页面可以点击继续按钮,并显示出FortiGate的阻断页面。

    image-20230605171025418

    image-20230605171115686

  3. 请注意,有一些知名网站的HSTS信息被预置在了浏览器中,如www.google.com 、www.gmail.com 、www.facebook.com 等,这些HSTS信息是无法被删除的。

    image-20230605171334001

  4. Firefox需要通过删除对应网站的缓存信息来删除HSTS信息。

解决方法

  1. 下载FortiGate用于UTM阻断页面(或用户认证页面,用户认证的证书需要到“系统管理→证书”页面下载)使用的CA证书,如下图所示,WebFilter功能所属的安全策略使用的SSL检查配置文件为默认的“certificate-inspection”,编辑该SSL检查配置文件后,下载CA证书。

    image-20230605174343885

    image-20230605174619504

  2. 将FortiGate使用的CA证书加入设备或者浏览器的信任列表(Chrome/Edge依赖系统的证书信任列表,而Firefox有自己的信任列表,需要在浏览器设置中添加)。

    image-20230605173201785

  3. 客户端再次访问该网站时,会直接显示出FortiGate的阻断页面(或登录页面),不会弹出证书告警页面。

    image-20230605175300423

  4. 因为浏览器在访问网站时,检查HSTS的时候会优先查找自己本地证书的信任关系(Firefox有自己的信任列表,需要在浏览器设置中添加),只要证书被设备或者浏览器本身信任,那么就不会被阻止,同样的事情,就算网站没有开启HSTS,因为对FortiGate证书信任了后,也不会弹出对应的证书错误提示页面,从而直接访问到UTM阻断页面(或用户登录页面)。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""