Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=SSL-decryption

Decrittografia SSL/TLS di siti web HTTPS

È possibile controllare se le nostre soluzioni siano autorizzate a decrittografare i siti web a scopo do verifica.

I siti web sicuri (HTTPS) sono cifrati, quindi possiamo eseguire la scansione dei loro contenuti solo se siamo autorizzati a decifrarli.

Tuttavia, è possibile escludere alcuni o tutti i siti dalla decrittografia. Questo è perché la decrittografia potrebbe consentire al nostro prodotto di registrare informazioni personali e di inserirli nelle voci dei log.

Se si attiva la decrittografia dei siti web HTTPS, potremmo visualizzare e registrare informazioni personali, nello specifico:

  • Vedremo l’URL completo (inclusi eventuali parametri aggiuntivi utilizzati da una richiesta GET).
  • Eseguiremo la scansione dei contenuti, che potrebbero includere informazioni personali private (PPI).
  • Se rileviamo una minaccia, potremmo inviare un campione ai SophosLabs.

Firefox e decrittografia

Firefox utilizza il proprio archivio certificati e questo ha ripercussioni sulla decrittografia dei siti web HTTPS. Inoltre, utilizza i propri server DNS, invece dei server DNS di Windows.

Per il corretto funzionamento della decrittografia su Windows, occorre configurare Firefox in modo che consideri attendibile l’archivio certificati di Windows. Per farlo, procedere come segue:

  1. Immettere “about:config” nella barra degli indirizzi e premere Invio.

    Potrebbe venire visualizzata una pagina di avviso. Cliccare su Accetta il rischio e continua per aprire la pagina about:config.

  2. Impostare “security.Enterprise_Roots.Enabled” come “true”.

    Così facendo, si indica a Firefox di considerare attendibile l’archivio radice dei certificati di Windows.

Occorre inoltre configurare Firefox in modo che utilizzi i server DNS di Windows. Questo passaggio è importante per la protezione web, poiché ci consente di visualizzare le informazioni sull’indicazione nome server (SNI, Server Name Indication) di una sessione HTTPS se la decrittografia HTTPS è disattivata. Per ulteriori informazioni su questo argomento, vedere la pagina Firefox Informazioni su DNS over HTTPS.

Attivazione o disattivazione della decrittografia

È possibile attivare o disattivare la decrittografia HTTPS per tutti i siti web nei criteri di Protezione dalle minacce per computer endpoint o server.

Per impostazione predefinita, la decrittografia HTTPS è disattivata per i computer endpoint.

  1. Aprire Prodotti > Endpoint o Server.
  2. Cliccare su Criteri.

  3. Cliccare sul criterio di Protezione dalle minacce desiderato e modificare l'impostazione Decrittografia SSL/TLS di siti web HTTPS.

    Se la decrittografia è attivata nel criterio di Protezione dalle minacce applicato a un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

Esclusione di siti web dalla decrittografia

È possibile escludere alcuni siti web HTTPS o categorie di siti web dalla decrittografia per proteggere i dati riservati.

I siti web HTTPS che non utilizzano TLS 1.2 o versioni successive vengono automaticamente bloccati. Anche la maggior parte dei browser web (come Chrome, Firefox ed Edge) blocca automaticamente queste pagine.

In questo caso, viene visualizzato il messaggio: “Abbiamo bloccato l’accesso a questo URL per via del criterio. La crittografia utilizzata dal server che ospita questo URL non è sicura”.

Messaggio URL non sicuro.

È possibile aggiungere un’esclusione per questi siti web.

Nota

Se si escludono siti web, alcune impostazioni dei criteri di Protezione dalle minacce e Web Control (scansione dei download o blocco dei tipi di file rischiosi) non verranno applicate a tali siti. Tuttavia, continueremo a eseguire le verifiche che non richiedono la decrittografia.

Per informazioni sulla rimozione di TLS 1.0 e 1.1 da Chrome, vedere Feature: TLS 1.0 and TLS 1.1 (removed).

Procedura

Per escludere siti web dalla decrittografia, procedere come segue:

  1. Aprire Prodotti > Impostazioni generali.

  2. Sotto Generali, cliccare su Decrittografia SSL/TLS di siti web HTTPS.

    Pagina Impostazioni generali.

  3. Verificare le Categorie escluse dalla decrittografia HTTPS. Per impostazione predefinita, tutte le categorie elencate sono escluse. Queste esclusioni possono essere disattivate, ma non è possibile aggiungere o rimuovere categorie.

    Per escludere siti specifici, procedere con il passaggio successivo.

    Sezione Esclusioni nella pagina della Decrittografia SSL/TLS.

  4. In Siti web esclusi dalla decrittografia HTTPS, cliccare su Aggiungi esclusione.

    Pulsante "Aggiungi esclusione".

  5. Nella finestra di dialogo Aggiungi esclusione, immettere i dettagli del sito web.

    1. Inserire un nome di dominio, un indirizzo IP o un intervallo di indirizzi IP. Per alcuni esempi, vedere Esclusioni per i siti web.
    2. Opzionale: Aggiungere un commento come promemoria del motivo per cui è stato escluso il sito.
    3. Cliccare su Aggiungi.

    Finestra di dialogo "Aggiungi esclusione".