Vai al contenuto

Decifratura SSL/TLS di siti web HTTPS

È possibile controllare se le nostre soluzioni debbano essere autorizzate a decifrare i siti web dei clienti, a scopo di verifica. Se si decide di procedere in questo modo, i clienti non potranno apportare modifiche.

Nota

Se i clienti partecipano all’EAP “Nuove funzionalità di Endpoint Protection”, possono attivare o disattivare la decifratura per i siti web HTTPS e possono modificare le impostazioni che sono state specificate con questa funzionalità, ma solo per i computer. Non possono apportare modifiche per i server.

Restrizione

Questa funzionalità è disponibile solamente per computer e server Windows.

I siti web sicuri (HTTPS) sono cifrati, quindi possiamo eseguire la scansione dei loro contenuti solo se siamo autorizzati a decifrarli.

Tuttavia, è possibile escludere alcuni o tutti i siti dalla decifratura. Questo è perché la decifratura potrebbe consentire al nostro prodotto di registrare informazioni personali e di inserirli nelle voci dei log.

Se si attiva la decifratura dei siti web HTTPS, potremmo visualizzare e registrare informazioni personali, nello specifico:

  • Vedremo l’URL completo (inclusi eventuali parametri aggiuntivi utilizzati da una richiesta GET).
  • Eseguiremo la scansione dei contenuti, che potrebbero includere informazioni personali private (PPI).
  • Se rileviamo una minaccia, potremmo inviare un campione ai SophosLabs.

Firefox e decifratura

Firefox utilizza il proprio archivio certificati e questo ha ripercussioni sulla decifratura dei siti web HTTPS. Inoltre, utilizza i propri server DNS, invece dei server DNS di Windows.

Per il corretto funzionamento della decifratura, occorre configurare Firefox in modo che consideri attendibile l’archivio certificati di Windows. Per farlo, procedere come segue:

  1. Immettere “about:config” nella barra degli indirizzi e premere Invio.

    Potrebbe venire visualizzata una pagina di avviso. Cliccare su Accetta il rischio e continua per aprire la pagina about:config.

  2. Impostare “security.Enterprise_Roots.Enabled” come “true”.

    Così facendo, si indica a Firefox di considerare attendibile l’archivio radice dei certificati di Windows.

Occorre inoltre configurare Firefox in modo che utilizzi i server DNS di Windows. Questo passaggio è importante per la protezione web, poiché ci consente di visualizzare le informazioni sull’indicazione nome server (SNI, Server Name Indication) di una sessione HTTPS se la decifratura HTTPS è disattivata. Per ulteriori informazioni su questo argomento, vedere la pagina Firefox Informazioni su DNS over HTTPS.

Attivazione o disattivazione della decifratura

È possibile attivare o disattivare la decifratura HTTPS per tutti i siti web nei criteri di Protezione contro le minacce. Occorre modificare e inviare tramite push i criteri applicabili ai clienti e ai loro dispositivi.

  1. Aprire Impostazioni e criteri > Modelli globali.
  2. Selezionare il modello che si desidera modificare, oppure clonarne uno per creare un nuovo modello.
  3. Verificare che i clienti che si desidera selezionare siano associati al modello.
  4. Cliccare su Criteri di base.
  5. Selezionare Endpoint: Protezione contro le minacce o Server: Protezione dalle minacce.
  6. Modificare l’impostazione per la Decifratura SSL/TLS di siti web HTTPS.

    Se la decifratura è attivata nel criterio di Protezione dalle minacce applicato a un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

  7. Inviare il modello tramite push.

Esclusione di siti web dalla decifratura

È possibile escludere alcuni siti web HTTPS o categorie di siti web dalla decifratura per proteggere i dati riservati.

I siti web HTTPS che non utilizzano TLS 1.2 o versioni successive vengono automaticamente bloccati. Anche la maggior parte dei browser web (Chrome, Firefox, Edge) blocca automaticamente queste pagine.

In questo caso, viene visualizzato il messaggio: “Abbiamo bloccato l’accesso a questo URL per via del criterio. La cifratura utilizzata dal server che ospita questo URL non è sicura”.

È possibile aggiungere un’esclusione per questi siti web.

Nota

Se si escludono siti web, alcune impostazioni dei criteri di Protezione dalle minacce e Web Control (scansione dei download o blocco dei tipi di file rischiosi) non verranno applicate a tali siti. Tuttavia, continueremo a eseguire le verifiche che non richiedono la decifratura.

Per informazioni sulla rimozione di TLS 1.0 e 1.1 da Chrome, vedere Feature: TLS 1.0 and TLS 1.1 (removed).

Per escludere siti web dalla decifratura, procedere come segue:

  1. Aprire Impostazioni e criteri > Modelli globali.
  2. Selezionare il modello che si desidera modificare, oppure clonarne uno per creare un nuovo modello.
  3. Cliccare su Decifratura SSL/TLS di siti web HTTPS.
  4. Verificare le Categorie escluse dalla decifratura HTTPS.

    Per impostazione predefinita, tutte le categorie elencate sono escluse. Queste esclusioni possono essere disattivate, ma non è possibile aggiungere o rimuovere categorie.

    Per escludere siti specifici, procedere con il passaggio successivo.

  5. In Siti web esclusi dalla decifratura HTTPS, cliccare su Aggiungi esclusione.

  6. Nella finestra di dialogo Aggiungi esclusione, immettere i dettagli del sito web.

    1. Inserire un nome di dominio, un indirizzo IP o un intervallo di indirizzi IP.
    2. Opzionale: Aggiungere un commento come promemoria del motivo per cui è stato escluso il sito.
    3. Cliccare su Aggiungi.