[GTER] skype x layer7

[Rubens Kuhl Jr.]

>      O que eu queria dizer era que se há método CONNECT, porta 443 e o
> endereço informado na URL está com o IP do destino e não com um nome
> de host, o acesso só é permitido para alguns IPs internos (src), ou
> seja, para aqueles que podem acessar o Skype. No caso dos bancos, pelo
> menos até agora, os acessos são feitos pelo nome do host e, logo, não
> se enquadram nas ACLs em questão.

Nenhum site https acessado por IP numérico vai ter validação contra o
certificado SSL, já que as autoridades certificadores não emitem
certificados para IPs numéricos... eu bloquearia sem nenhum receio,
desde que os browsers usados na empresa não façam eles mesmos
resolução DNS quando se usa proxy(o que a maioria de fato não faz).

Pode acontecer de algum painel de controle via SSL ou algo assim seja
bloqueado, mas é o tipo de caso raro o suficiente para ser contornado
com whitelisting desse caso específico.


Rubens