Apprentissage automatique des erreurs SSL

L’appliance Citrix SWG ajoute un domaine à la liste de contournement SSL si le mode d’apprentissage est activé. Le mode d’apprentissage est basé sur le message d’alerte SSL reçu d’un client ou d’un serveur d’origine. Autrement dit, l’apprentissage dépend de l’envoi d’un message d’alerte par le client ou le serveur. Il n’y a pas d’apprentissage si un message d’alerte n’est pas envoyé. L’appliance apprend si l’une des conditions suivantes est remplie :

  1. Une demande de certificat client est reçue du serveur.

  2. L’une des alertes suivantes est reçue dans le cadre de la poignée de main :

    • BAD_CERTIFICATE
    • UNSUPPORTED_CERTIFICATE
    • CERTIFICATE_REVOKED
    • CERTIFICATE_EXPIRED
    • CERTIFICATE_UNKNOWN
    • UNKNOWN_CA (Si un client utilise l’épinglage, il envoie ce message d’alerte s’il reçoit un certificat de serveur.)
    • HANDSHAKE_FAILURE

Pour activer l’apprentissage, vous devez activer le cache d’erreurs et spécifier la mémoire réservée pour cela.

Activer l’apprentissage à l’aide de l’interface graphique Citrix SWG

  1. Accédez à Secure Web Gateway > SSL .

  2. Dans Paramètres, cliquez sur Modifier les paramètres SSL avancés.

  3. Dans Interception SSL, sélectionnez SSL Interception Error Cache.

  4. Dans SSL Interception Max Error Cache Memory, spécifiez la mémoire (en octets) à réserver.

    image localisée

  5. Cliquez sur OK.

Activer l’apprentissage à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>

Arguments :

SSLierrorCache :

          Activez ou désactivez l'apprentissage dynamique et mettez en cache les informations apprises pour prendre les décisions suivantes d'intercepter ou de contourner les demandes. Lorsqu'elle est activée, l'appliance effectue une recherche de cache pour décider s'il faut contourner la demande.

          Valeurs possibles : `ENABLED, DISABLED`

          Valeur par défaut : `DISABLED`

ssliMaxErrorCacheMem:

          Spécifiez la mémoire maximale, en octets, qui peut être utilisée pour mettre en cache les données apprises. Cette mémoire est utilisée comme cache LRU afin que les anciennes entrées soient remplacées par de nouvelles entrées après épuisement de la limite de mémoire définie. La valeur 0 détermine automatiquement la limite.

          Valeur par défaut : 0

          Valeur minimale : 0

          Valeur maximale : 4294967294