如果 Web Gateway 使用的是具內容檢查功能的 SSL 掃描程式，在造訪 HTTPS 網站時會出現瀏覽器憑證警告

技術文章 ID: KB86362
上次修改： 2021/10/21

McAfee Web Gateway (MWG) 7.x

造訪 HTTPS 網站時網頁瀏覽器會顯示憑證警告。如果 Web Gateway 使用的是內容檢查功能已啟用的 SSL 掃描程式時，便會發生此問題。憑證警告訊息會視網頁瀏覽器而異：

Mozilla Firefox 將封鎖網站並顯示以下警告訊息：The certificate is not trusted because it was signed using a signature algorithm that was disabled because that algorithm is not secure (憑證不受信任，因為憑證是使用因演算法不安全而停用的簽章演算法簽署的)。

Google Chrome 將允許網站，但會顯示警告訊息：The certificate for this site expires in 2017 or later, and the certificate chain contains a certificate signed using SHA-1 (此網站的憑證於 2017 或之後過期，且憑證鏈包含使用 SHA-1 簽署的憑證)。

自 2016 年 1 月 1 日起，大多數的網頁瀏覽器開始分階段取消信任使用 SHA-1 簽署的憑證。任何在 2016 年 1 月 1 日之後簽署的憑證將以某種方式取消信任 (視網頁瀏覽器而異)，但仍將接受在該日期之前簽署的憑證。

Web Gateway 將為已經過 SSL 掃描的網站核發憑證，因此簽署日期將晚於 2016 年 1 月 1 日。

請確定 Web Gateway 未在 SSL 掃描設定中使用 SHA-1 (而是使用 SHA-256)。如果您已從舊版 Web Gateway 遷移至新版 Web Gateway，此設定將不會自動更新。

登入 Web Gateway 使用者介面。
瀏覽至 Policy (原則)、Settings (設定)、Engines (引擎) 及 SSL Client Context with CA (具 CA 的 SSL 用戶端內容)。
對於 SSL Client Context with CA (具 CA 的 SSL 用戶端內容) 的所有設定容器：
1. 從 Digest (摘要) 下拉式功能表中選取 sha256。
2. 從 RSA server key size (RSA 伺服器金鑰大小) 下拉式功能表中選取 2048。

此外，如果 Web Gateway 中使用的憑證授權單位 (CA) 是使用 SHA-1 簽署的，您應考慮盡快更換演算法。目前只有在 Web 伺服器憑證是使用 SHA-1 簽署的，網頁瀏覽器才會顯示警告。但使用 SHA-1 簽署的 CA 最終可能會發生相同的問題。

本文內容源於英文。如果英文內容和翻譯有差異，請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

下列為此文章的語言版本：

Knowledge Center