Zscaler Internet Access (ZIA) の”証明書固定(ピンニング)”アプリでのSSLインスペクション失敗に関して
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Zscaler Internet Access (ZIA) の”証明書固定(ピンニング)”アプリでのSSLインスペクション失敗に関してご紹介します。
SSLインスペクションの設定に関してはこちらを参考にしてください。
SSLインスペクションに関して
昨今、Webの通信はほぼ全ての通信が暗号化されており、詳細を検証することができません。
SSLインスペクションは暗号化された通信を複合、内容を検査し、不正なデータやマルウェアを検出する技術です。
クライアントはZscalerのルート証明書をインストールすることでZscalerを信頼、Zscalerは暗号化通信を複合、中身を検査します。
SSLインスペクションの失敗 証明書固定(ピンニング)
一部のアプリケーションやWebサービスでは”証明書固定(ピンニング)”を使用し、特定の証明書のみを信頼する仕組みを持っています。この場合Zscalerの証明書を使用してSSLインスペクションを試行すると通信が失敗します。
SSLインスペクションバイパス
“証明書固定(ピンニング)”をしているアプリケーションの通信はZscalerの証明書を使用すると上述の理由で通信が失敗します。
この回避のため、特定の通信に関してZscalerに証明書を差し替えさせず、通信を中継するだけで中身を検査させない必要があります。
これをSSLインスペクションバイパスと言います。
Webインサイトの確認
SSLインスペクションに失敗すると以下のようなSSLに関わるブロックログが表示されます。
上記ログが表示された場合、該当のドメインをSSLインスペクションバイパス設定することで通信が成功する可能性があります。
Webインサイトに関してはこちらをご確認ください。
Apple製品の管理通信は証明書が固定化されているものが多いので、困ったらこちらに記載されているドメインをバイパス設定していただくと通信が改善される可能性があります。
まとめ
- SSLインスペクションは通信を複合化して中身を検査する
- SSLインスペクションを許容しないアプリケーション等はSSLインスペクションバイパスを設定する
- Apple製品の管理通信はSSLインスペクションが失敗するものがある
今回はZscaler Internet Access (ZIA) の”証明書固定(ピンニング)”アプリでのSSLインスペクション失敗に関してご紹介しました。
