FortiGate에서 Web 트래픽을 제어하기 위한 탐지 방법으로 두 가지 옵션을 가지고 있습니다.


1. Certificate-inspection

-SSL Certificate-inspection을 사용하게 되면, 실제 암호화된 트래픽을 검사할 수 없습니다.


2. Deep-Inspection 

-SSL로 암호화된 트래픽의 payload 데이터 까지 inspection하기 위해서는 SSL Deep-Inspection 이 필요합니다.


https://community.fortinet.com/t5/FortiGate/Technical-Note-Differences-between-SSL-Certificate-Inspection/ta-p/192301


SSL Certificate-inspection이용 시 확인 하는 부분

1.  SNI(Server Name Indicator) 

2.  SSL인증서의 subject 또는 subject alternative name 


때문에 CN 값이 실제 URL과 다른 경우 원하지 않는 동작을 할 수 있습니다.


v7.0.1부터 SSL 통신관 관련하여 SSL 서버 인증서 정보와 핸드쉐이크 정보를 로그로 표출하는 기능이 추가

https://docs.fortinet.com/document/fortigate/7.0.0/new-features/183724/enhance-tls-logging-7-0-1


Deep Inspection을 사용할 경우 아래와 같은 문제에 대비하여 예외처리가 필요합니다.

https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/329138/preventing-certificate-warnings