Gilt für
Produkte: Firebox und XTM
Betriebssystem: Fireware
Problemstatus: Offen
Status und Verfolgung
Verfolgungs-ID: FBX-28553
Status: Offen
Gelöst in:
Beschreibung
Wenn ein Browser Encrypted Client Hello (ECH) verwendet, um den TLS-Handshake auszuhandeln, kann er die WebBlocker-Aktion in einer HTTPS-Proxy-Richtlinie umgehen. Encrypted Client Hello maskiert die Server Name Indication (SNI), was WebBlocker daran hindert, die Ziel-Website zu erkennen.
Umgehung/Lösung
Sie können diese Optionen verwenden, um die Inhaltsfilterung zu erzwingen:
- Um Encrypted Client Hello zu verwenden, muss der Browser zunächst einen DNS-Eintrag vom Typ HTTPS (Typ-65) abfragen, wie in RFC9460 beschrieben. Um diesen Abfragetyp zu verweigern, verwenden Sie eine DNS-Proxy-Richtlinie, um den Client-DNS-Verkehr zu verarbeiten. Weitere Informationen finden Sie unter DNS-Proxy: Abfragetypen.
- Aktivieren Sie die Inhaltsprüfung/TLS-Entschlüsselung in der HTTPS-Proxy-Richtlinie. Weitere Informationen finden Sie unter HTTPS-Proxy: Inhaltsüberprüfung.
- Verwenden Sie die Inhaltsfilterung von DNSWatch. Weitere Informationen finden Sie unter Verwalten des Benutzerzugriffs auf Inhalte in DNSWatch.