Jeg er veldig opptatt at vi skal inspisere trafikk som går over SSL, men dessverre er ikke alltid dette så lett. Noen tjenester og applikasjoner er hardkodet til å kun godta ett eller flere spesifike sertifikat.

Apple er en av de som har laget applikasjonene sine slik, de godtar kun Apple sine SSL-sertifikat.
Dette betyr at at hvis man har SSL-inspeksjon aktivert så vil mest sannsynlig alt av Apple enheter stoppe å synke mot sine tjenester, det er sjeldent populært i det fine landet vårt Norge, der alle skal ha tilgang til alt hele tiden 🙂

Men ta det med ro! Jeg har en rask og god løsning for å sikre videre funksjon for Apple enhetene dine!
Vi må rett og slett lage en egen regel i SSL-inspeksjon regelsettet for å unnta trafikk mot Apple sine tjenester.

Steg 1:

Gå til Objects->Custom Objects->URL Category
Trykk “Add”

Steg 2:

Skriv navn på kategorien og gjerne en beskrivelse til senere.
Trykk på “Import”

Steg 3:

Last ned min tekst fil med unntakene du trenger: apple_ssl_unntak
Deretter finner du stien du lastet den ned til og importerer den.

Du vil da få opp dette vinduet om alt gikk som det skulle:

Trykk “Ok” for å lagre.

Steg 4:
Gå til Policies->Decryption
Trykk “Add” for ny regel, fyller inn det du trenger av info, og under “Service/URL Category” henter du opp din nylagede URL Kategori:

Deretter kan du lagre regelen. (No decrypt er standard ved ny regel)
Min regel ser da slik ut:

Trykk deretter “Commit” så vil forhåpentligvis Apple produktene starte å kommunisere slik de skal med tjenestene sine!

 

NB NB! Det kan hende at adressene endrer seg over tid, jeg skal prøve å holde den oppdatert, men jeg setter pris på en kommentar hvis noen vet om flere adresser som må med. Dette fungerte for meg per 27.10.2015.