La whitelist di tutti i nomi di host di Lync è macchinosa. La disattivazione globale dell'ispezione SSL non è auspicabile.
In un luogo per cui lavoro, hanno l'ispezione SSL abilitata sul loro proxy. Tutto il traffico verso Internet deve passare attraverso questo server proxy.
Il più delle volte, non è un problema, tranne quando si tratta di Lync. Questa azienda ha scelto di essere federata con tutti .
Ora, quando proviamo a stabilire conferenze, lavagna, condivisione desktop con aziende esterne, di solito fallisce.
Quando tracciamo il traffico, siamo stati in grado di individuare gli hostname utilizzati per il traffico Lync e li abbiamo esclusi dall'ispezione SSL.
Ora, il problema è che questo era solo per un'azienda. E probabilmente dovremo rifarlo per un altro. E un altro e un altro ... Poiché ogni azienda ha la propria infrastruttura Lync e nomi host per i servizi Lync.
Ciò mi dà l'impressione che Lync stia costringendo alcune aziende a disattivare l'ispezione SSL a livello globale, in quanto l'utente richiede Lync e il lavoro manuale richiesto per esentare i siti dall'ispezione è troppo grande.
Sicuramente c'è un modo migliore?
Mentre questa è una domanda aperta su come gestisci questa situazione, alcune soluzioni sono migliori di altre. I KB ufficiali di Lync e i fornitori di proxy dicono lo stesso: devi autorizzare gli host di Lync. Ma ignorano che ci sono molti di loro là fuori.
Quindi, per favore, se hai una soluzione migliore, pubblicala come risposta sotto.
Sfondo
E vorrei aggiungere i motivi per cui l'ispezione SSL non funziona:
- Lync non parla SSL standard
- Lync consente solo i certificati originati dai server Lync. (Certificato / blocco chiave pubblica). Ignora le CA attendibili installate sui computer client, pertanto il certificato emesso dal proxy non è valido per Lync.