Acesso não SNI SSL sites por meio de ameaça Management Gateway 2010 se a inspeção de HTTPS é ativada

Sintomas

Considere o seguinte cenário:

• Você tenta acessar um site de Secure Sockets Layer (SSL) por meio do Microsoft Forefront ameaça Management Gateway 2010.

• O site usa a indicação de nome de servidor (SNI) para determinar qual certificado para servir.

• Inspeção de HTTPS de Gateway de gerenciamento de ameaças está habilitada.

• O servidor Threat Management Gateway usa encadeamento para enviar saída solicitações da web para um servidor upstream do proxy da web.

• O conjunto de parâmetros do fornecedor de HTTPSiDontUseOldClientProtocols está habilitado (por 2545464 KB).

Nesse cenário, você não pode acessar o site.

Causa

Esse problema ocorre porque o Threat Management Gateway cria um cabeçalho SNI incorreto que causa erros de conectividade ou erros no servidor web.

Resolução

Para resolver esse problema, aplique esse hotfix em todos os membros da matriz Threat Management Gateway. Esse hotfix não está habilitado por padrão. Depois de instalar esse hotfix, você deve seguir estas etapas para ativar a correção:

1. Copie o script a seguir em um editor de texto como o bloco de notas e salve-o como UseOriginalHostNameInSslContex.vbs:
   
   

   '' Copyright (c) Microsoft Corporation. All rights reserved.
   ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
   ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
   ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
   ' HEREBY PERMITTED.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
   Const SE_VPS_VALUE = TRUE
   Sub SetValue()
       ' Create the root object.
       Dim root
       ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets
       ' An FPCVendorParametersSets collection
       Dim VendorSet
       ' An FPCVendorParametersSet object
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
       If Err.Number <> 0 Then
           Err.Clear        ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
       Else
           WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
       End If
       if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   End Sub
   Sub CheckError()
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   End Sub
   SetValue
   

2. Copie o arquivo de script para um membro da matriz Threat Management Gateway e, em seguida, clique duas vezes no arquivo para executar o script.

Para reverter para o comportamento padrão, execute estas etapas:

1. Localize a seguinte linha do script:
   
   

   Const SE_VPS_VALUE = true

2. Altere esta linha para o seguinte:
   
   

   Const SE_VPS_VALUE = false

3. Execute o script em um dos membros da matriz Threat Management Gateway.

Informações sobre o arquivo:

Mais informações

SNI é um recurso de segurança de camada de transporte (TLS) SSL que permite que um cliente enviar um cabeçalho na mensagem de "Saudação" cliente SSL que indica quais totalmente qualificado (FQDN) do nome de domínio está sendo acessado. Esta ação permite que um servidor determinar qual certificado para enviar para o cliente com base no cabeçalho SNI.

Quando a inspeção do SSL de Gateway de gerenciamento de ameaças é ativada, Threat Management Gateway manipula a negociação SSL para o servidor web de destino e é identificado como o cliente pelo servidor web negociação SSL.

Threat Management Gateway cria o cabeçalho SNI incorretamente usando o nome do servidor upstream e não o nome de servidor de web destino se as seguintes condições forem verdadeiras:

• Threat Management Gateway é um servidor proxy downstream.

• Threat Management Gateway encadeia solicitações de saída para um servidor upstream do Threat Management Gateway.

• O conjunto de parâmetros do fornecedor de HTTPSiDontUseOldClientProtocols é ativado por 2545464 KB.

Isso pode causar erros de conectividade ou erros no servidor web, dependendo de como o servidor web reage ao cabeçalho SNI incorreto.