La lista blanca de todos los nombres de host de Lync es incómoda. Desactivar globalmente la inspección SSL no es deseable.
En un lugar donde trabajo, tienen habilitada la inspección SSL en su proxy. Todo el tráfico a Internet tiene que ir a través de este servidor proxy.
La mayoría de las veces, no es un problema, excepto cuando se trata de Lync. Esta compañía ha elegido ser federada con todos .
Ahora, cuando intentamos establecer conferencias, pizarra, uso compartido de escritorio con empresas externas, por lo general falla.
Cuando rastreamos el tráfico, hemos podido identificar los nombres de host utilizados para el tráfico de Lync y los hemos eximido de la inspección de SSL.
Ahora, el problema es que esto fue solo para una compañía. Y probablemente tenemos que hacer esto de nuevo por otro. Y otra, y otra ... Como cada compañía diferente tiene su propia infraestructura de Lync y nombres de host para los servicios de Lync.
Esto me da la impresión de que Lync está obligando a algunas compañías a desactivar la inspección SSL a nivel mundial, ya que el usuario requiere Lync, y el trabajo manual requerido para eximir a los sitios de la inspección es demasiado grande.
Seguramente hay una mejor manera?
Si bien esta es una pregunta abierta sobre cómo manejar esta situación, algunas soluciones son mejores que otras. Los KB oficiales de Lync y los proveedores de proxy dicen lo mismo: usted tiene que agregar a la lista blanca los hosts de Lync. Pero ignoran que hay muchos de ellos por ahí.
Entonces, si tiene una solución mejor, publíquela como una respuesta a continuación.
Fondo
Y me gustaría agregar los motivos por los que la inspección SSL no funciona:
- Lync no habla SSL estándar
- Lync solo permite certificados originados en los servidores de Lync. (Fijación de clave pública / certificado.) Ignora las CA de confianza instaladas en los equipos cliente, por lo que el certificado emitido por el proxy no es válido para Lync.