Блокирование содержания HTTPS с Цепочкой для часов (Websense) по сравнению со сверхпроводящим квантовым интерферометром и SQUIDGuard использование режима Transparent Proxy

Служба Watchguard осуществляет полную проверку содержания HTTPS таким же образом, устанавливая сертификат SSL и выполняя атаку Man-In-The-Middle (MITM) на весь трафик, но она может блокировать доменные имена, не прибегая к этому, путем просмотра поля Server Name Indicator (Имя сервера), посылаемого браузером, чтобы сервер мог определить, с каким SSL-сертификатом нужно отвечать, а также путем просмотра SSL-сертификата, возвращаемого с сервера, чтобы увидеть, для каких доменных имен он подписан.

HTTPS-прокси: Доменные имена

Если на вашем устройстве Firebox или XTM установлена программа Fireware XTM v11.9.4 или выше, вы можете настроить устройство так, чтобы оно разрешало или запрещало доступ к сайту, выполняло проверку содержимого или обходило проверку содержимого на основе правил доменных имен, которые вы создаете. Для сопоставления указанного шаблона в правилах доменных имен с именем, указанным на сервере подключения, используется SNI (Server Name Indication), общее имя сертификата (CN) или IP-адрес сервера.

Поскольку он может определять действительное имя сервера по заголовкам трафика HTTPS, SNI является наиболее точным вариантом. Сертификат CN часто используется несколькими службами одного сайта. Например, многие службы Google, такие как YouTube и Google Maps, используют один и тот же сертификат CN. Если вы блокируете доступ к YouTube на основе сертификата CN, доступ также блокируется к Google Maps и другим службам с одним и тем же CN. Сертификат CN используется, если SNI недоступен.

http://www.watchguard.com/help/docs/wsm/xtm_11/en-US/index.html#en-US/proxies/https/https_domain_names_c.html%3FTocPath%3DProxy%2520Settings%7CAbout%2520the%2520HTTPS-Proxy%7C_____3