Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Google Chrome a SSL inspekce na TMG
říjen 12
Google Chrome a SSL inspekce na TMG

Zrovna před nedávnem jsem tu psal poznámky o SSL Inspection na TMG (Threat Management Gateway 2010). Příslušný článek je k přečtení tady. A rovnou jsem dneska zaznamenal další, navíc docela zajímavý problém.

Pokud máte zapnutou SSL Inspection na TMG a používáte Google Chrome, některé HTTPS stránky se vám nezobrazí a Chrome prostě jenom zatuhne - bude nějakou dobu točit progres než to ukončí a zahlásí nějakou chybu. Zatímco stejná stránka například v Internet Exploreru (IE) jede. Proč?

To je tím, že Google vymyslel nějakou úžasnou metodu, jak zrychlit nahazování SSL oproti jeho normálnímu chování. Nazývá se to False Start (přečíst o tom si můžete tady a výkonové měření je tady). Způsobuje to zřejmě nějaké kešování certifikátů autorit a možná i změny v SSL protokolu. Tím pádem, pokud TMG podstrčí Chrome klientovi svůj "podvržený" certifikát, tak se v některých případech Chrome zblázní.

Jak to opravit?

Jsou dvě metody. Buď udělejte pro příslušné stránky výjimku v SSL Inspection na TMGčku. V našem případě pomohlo vynechat *.google.com.

Druhou metodou jsou dva parametry při spouštění Chrome. Buď ho přinuťte pomocí parametru -use-system-ssl:

chrome.exe -use-system-ssl

Předchozí příkaz přinutí Chrome, aby používal normální Windows knihovnu pro SSL zvanou SCHANNEL, která samozřejmě False Start neumí. Nebo můžete jenom zkusit vypnout False Start pomocí příkazu -disable-ssl-false-start.

chrome.exe -disable-ssl-false-start

 

Comments

Super a diky!

Tak presne tohle jsem hledal. Mam Exchange 2010 opublikovan pres TMG a z venku se proste neda pripojit pres chrome. Driv to neslo vubec od nejaky verze funguje, ze necham stranku  nacitat - zavru - a otevrit znovu. S Wiresharkem jsem to ladil nekolik hodin, ale neprisel na to jak to vypnout :)
Andrews on 12.10.2011 20:56

Re: Google Chrome a SSL inspekce na TMG

V SP2 for TMG2010 (ktery je dostupny od minuleho tydne) by presne Vas problem s pristupem zvenci z Chrome na publikovane weby mel byt opraven.
Viz http://support.microsoft.com/kb/2555840
http://support.microsoft.com/kb/2592456
zl on 19.10.2011 9:53

Re: Google Chrome a SSL inspekce na TMG

Pěkně!
Onďas on 20.10.2011 6:45

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments