はじめに
社内でもChromeつながらないなどで、出てきたため、Fortigateのバージョンを上げた。
結果、なにやら悪化した感じだったので調査しました。。
エラー内容
Chrome 85にて、特定のサイトへアクセスすると、ERR_CONNECTION_CLOSEDでエラーページになる。
確認当初、IE11,旧edge,firefoxで該当サイトは閲覧できた。
数日後、firefoxでも見れなくなった。多分バージョンアップされたためだと思われる。
パケットモニターしてみる
Client helloのLayer RecordがTLS1だった
「Windowsネットワーク診断ツールを実行する」をやってみる。診断後再接続すると接続できた。
直ったかと思ってブラウザを落として再度接続するとERR_CONNECTION_CLOSEDでエラーページになる。
どうもブラウザを終了してしまうとだめみたい。
なぜかIE11を起動して接続できないページを閲覧して、Chromeで閲覧すると閲覧できる。怪。。
Chromeが接続できるようになったときのパケット
Layer RecordがTLS1.2だった。そりゃ見れるよね・・・
なぜ、TLS1無効化ブラウザーでClient helloのLayer RecordがTLS1なんだろか・・
調査内容
閲覧ページにて、外部URLでCDN、AD用のタグなど外部読み込み先がTLS1.0が含まれていると。そのページ自体表示できないようだ。
FortiOS - Release Notes Version 6.2.5を見てみると下記の記述があり
| Bug ID | Description |
|---|---|
| 617934 | If web filtering is enabled using a proxy-based firewall policy with SSL inspection also enabled, then connections to servers that still support less secure TLS versions may fail. Browser errors seen: Chrome: ERR_CONNECTION_CLOSED Firefox: PR_END_OF_FILE_ERROR Workaround: toggle affected firewall policies to flow-based inspection. |
FortiOS 6.2.5のバグらしい。汗
設定変更
ポリシー&オブジェクトのIPv4ポリシーを開く
ポリシー&オブジェクトのIPv4ポリシーのインスペクションモードがプロキシベースだったのをフローベースに変更
結果、Chrome、FirefoxでTLSが混合しているサイトでも閲覧できるようになりました。
おしまい
きちんとRelease Notesを見てからバージョンアップしましょう!
