Erreur SSL apprentissage automatique

L’appliance Citrix SWG ajoute un domaine à la liste de contournement SSL si le mode d’apprentissage est activé. Le mode d’apprentissage est basé sur le message d’alerte SSL reçu d’un client ou d’un serveur d’origine. Autrement dit, l’apprentissage dépend de l’envoi d’un message d’alerte par le client ou le serveur. Il n’y a pas d’apprentissage si un message d’alerte n’est pas envoyé. L’appliance apprend si l’une des conditions suivantes est remplie :

  1. Une demande de certificat client est reçue du serveur.

  2. L’une des alertes suivantes est reçue dans le cadre de la poignée de main :

    • BAD_CERTIFICATE
    • UNSUPPORTED_CERTIFICATE
    • CERTIFICATE_REVOKED
    • CERTIFICATE_EXPIRED
    • CERTIFICAT_INCONNU
    • UNKNOWN_CA (Si un client utilise l’épinglage, il envoie ce message d’alerte s’il reçoit un certificat de serveur.)
    • HANDSHAKE_FAILURE

Pour activer l’apprentissage, vous devez activer le cache d’erreur et spécifier la mémoire réservée pour cela.

Activer l’apprentissage à l’aide de l’interface graphique de Citrix SWG

  1. Accédez à Secure Web Gateway > SSL.

  2. Dans Paramètres, cliquez sur Modifier les paramètres SSL avancés.

  3. Dans Interception SSL, sélectionnez Cache d’erreur d’interception SSL.

  4. Dans SSL Interception Max Error Cache Memory, spécifiez la mémoire (en octets) à réserver.

    image localisée

  5. Cliquez sur OK.

Activer l’apprentissage à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>

Arguments :

SSLierrorCache :

          Activez ou désactivez l'apprentissage dynamique et mettez en cache les informations apprises afin de prendre les décisions suivantes pour intercepter ou contourner les demandes. Lorsqu'elle est activée, l'appliance effectue une recherche de cache pour décider s'il faut contourner la demande.

Valeurs          possibles : `ENABLED, DISABLED`

Valeur          par défaut : `DISABLED`

SSLIMaxErrorCacheMem :

          Spécifiez la mémoire maximale, en octets, qui peut être utilisée pour la mise en cache des données apprises. Cette mémoire est utilisée comme cache LRU afin que les anciennes entrées soient remplacées par de nouvelles entrées après épuisement de la limite de mémoire définie. La valeur 0 détermine automatiquement la limite.

Valeur          par défaut : 0

Valeur          minimale : 0

Valeur          maximale : 4294967294