対応バージョン: i-FILTER Ver.9 / Ver.10
対応OS: すべてのOS
クライアント⇔i-FILTER間、または、i-FILTER⇔Webサーバー(上位プロキシサーバー)間の
SSLハンドシェイク が失敗した場合に発生します。
失敗の原因はパケットキャプチャを実施して調査する必要があります。
■ログ出力例(アクセス先がi-FILTERのブロック対象ではないとき)
▽アクセスログ抜粋
-----------------------------------------------------------------------------
[30/Jan/2015:16:56:40 +0900] 503 0 44 error -1 -1 126 -1 0 12 0 default
HTTPレスポンスコード:503
フィルターアクション:error
フィルター理由番号:-1
-----------------------------------------------------------------------------
フィルターアクション:error であり
「フィルター理由番号」が「-1」の事象は、以下の条件によって発生します。
・CONNECTメソッドに対する200応答後、
クライアント⇔i-FILTER間の SSLハンドシェイク が失敗に終わる場合
または
i-FILTER⇔Webサーバー(上位プロキシサーバー)間の SSLハンドシェイク が失敗に終わる場合
■ログ出力例(アクセス先がi-FILTERのブロック対象のとき)
▽アクセスログ抜粋
-----------------------------------------------------------------------------
[30/Jan/2015:16:56:40 +0900] 503 0 44 error -1 126 126 -1 0 12 0 default
HTTPレスポンスコード:503
フィルターアクション:error
フィルター理由番号:126(カテゴリ:検索エンジン)
-----------------------------------------------------------------------------
フィルターアクション:error であり
「フィルター理由番号」が「URLカテゴリ番号」の事象は、以下の条件によって発生します。
・CONNECTメソッドがブロックされ、かつその際に行われる
クライアント⇔i-FILTER間の SSLハンドシェイク が失敗に終わる場合
■パケットキャプチャ出力例
[PC → i-FILTER] CONNECT accounts.google.com:443 HTTP/1.0
[i-FILTER → PC] HTTP/1.0 200 Connection established
[PC → i-FILTER] Client Hello
[i-FILTER → PC] Server Hello
[PC → i-FILTER] Alert (Level: Fatal, Description: Unknown CA)
■対応方法
パケット調査結果に基づいて対応を行ってください。
過去事例では、クライアントにCA証明書がインポートされてないときに発生することを確認しています。
以下FAQを参照して、インポートを行ってください。
▽FAQ:「i-FILTER」SSL Adapter機能ご利用時に必要となるCA証明書を、端末にインポートする方法を教えてください
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=5274
また、通信先を「SSLデコード除外」に設定することで改善するかどうかもお試しください。
▽FAQ:「i-FILTER」『SSLデコード除外ホスト』や『SSLデコード対象グループ』はどのように設定すればよいですか
https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=3223