SSL/TLS-Entschlüsselung von HTTPS-Websites
Sie können steuern, ob wir Websites entschlüsseln, um sie zu überprüfen.
Sichere Websites (HTTPS) sind verschlüsselt, sodass wir die Inhalte nur scannen können, wenn Sie sie uns entschlüsseln lassen.
Möglicherweise möchten Sie jedoch einige oder alle Websites von der Entschlüsselung ausschließen. Bei der Entschlüsselung könnte unser Produkt personenbezogene Daten erfassen und in Protokolleinträgen verzeichnen.
Wenn Sie die Entschlüsselung von HTTPS-Webseiten einschalten, können wir auf die folgenden personenbezogenen Daten zugreifen und diese speichern:
- Wir sehen die vollständige URL (einschließlich aller weiteren Parameter, die in einer GET-Anforderung enthalten sind).
- Wir scannen die Inhalte. Diese enthalten möglicherweise private personenbezogene Daten (Private Personal Information, PPI).
- Wenn wir eine Bedrohung entdecken, schicken wir möglicherweise eine Sample-Datei zu SophosLabs.
Firefox und Entschlüsselung
Firefox verwendet einen eigenen Zertifikatspeicher, was sich auf die Entschlüsselung von HTTPS-Websites auswirkt. Firefox verwendet auch einen eigenen DNS-Server anstelle der Windows DNS-Server.
Damit unsere Entschlüsselung auf Windows korrekt funktioniert, müssen Sie Firefox anweisen, dem Windows-Zertifikatsspeicher zu vertrauen. Verfahren Sie wie folgt:
-
Geben Sie in der Adressleiste 'about:config' ein und drücken Sie die Eingabetaste.
Möglicherweise wird eine Warnseite angezeigt. Klicken Sie auf Risiko akzeptieren und fortfahren, um zur Seite „about:config“ zu gelangen.
-
Setzen Sie 'security.enterprise_roots.enabled' auf True.
Dadurch wird Firefox angewiesen, dem Windows-Stammzertifikatspeicher zu vertrauen.
Sie müssen Firefox auch dazu konfigurieren, Ihre Windows DNS-Server zu verwenden. Dies ist für die Web Protection wichtig, da wir dadurch die SNI-Informationen (Server Name Indication) einer HTTPS-Sitzung sehen können, wenn die HTTPS-Entschlüsselung deaktiviert ist. Hilfe hierzu finden Sie unter DNS über HTTPS in Firefox.
Aktivieren/Deaktivieren der Verschlüsselung
Sie können die HTTPS-Entschlüsselung für alle Websites in Ihren Threat Protection-Richtlinien für Endpoint-Computer oder -Server ein- oder ausschalten.
Standardmäßig ist die HTTPS-Entschlüsselung für Endpoint-Computer deaktiviert.
- Gehen Sie zu Meine Produkte > Endpoint oder Server.
- Klicken Sie auf Richtlinien.
-
Klicken Sie auf die gewünschte Threat Protection-Richtlinie und bearbeiten Sie die Einstellung für die SSL/TLS-Entschlüsselung von HTTPS-Websites.
Wenn in der Threat-Protection-Richtlinie Entschlüsselung für ein Gerät eingeschaltet ist, wird diese auf dem Gerät auch für die Web-Control-Richtlinienüberprüfung verwendet.
Websites von Entschlüsselung ausschließen
Sie können bestimmte HTTPS-Websites oder Website-Kategorien von der Entschlüsselung ausschließen, um vertrauliche Daten zu schützen.
Wir blockieren automatisch HTTPS-Websites, die TLS 1.2 oder höher nicht verwenden. Die meisten Webbrowser (Chrome, Firefox, Edge) blockieren diese Seiten ebenfalls automatisch.
In diesem Fall wird eine Meldung angezeigt: „Aufgrund der für Sie geltenden Richtlinie haben wir den Zugriff auf diese Seite gesperrt. Der Server, auf dem die Seite liegt, verwendet eine unsichere Verschlüsselung.“
Sie können Ausschlüsse für diese Webseiten hinzufügen.
Hinweis
Wenn Sie Websites ausschließen, gelten bestimmte Einstellungen in Ihren Schutz vor Bedrohungen- und Web Control-Richtlinien (Scannen von Downloads oder Blockieren riskanter Dateitypen) nicht für diese. Allerdings führen wir weiterhin alle Prüfungen durch, die keine Entschlüsselung benötigen.
Informationen zum Entfernen von TLS 1.0 und 1.1 durch Chrome finden Sie unter Funktion: TLS 1.0 und TLS 1.1 (entfernt).
Gehen Sie wie folgt vor, um Websites von der Entschlüsselung auszuschließen:
- Gehen Sie zu Meine Produkte > Allgemeine Einstellungen.
-
Klicken Sie unter Allgemein auf SSL/TLS-Entschlüsselung von HTTPS-Websites.
-
Überprüfen Sie die von Von HTTPS-Entschlüsselung ausgeschlossene Kategorien. Alle aufgeführten Kategorien werden standardmäßig ausgeschlossen. Sie können diese Ausschlüsse deaktivieren, können jedoch keine Kategorien hinzufügen oder entfernen.
Um bestimmte Standorte auszuschließen, fahren Sie mit dem nächsten Schritt fort.
-
Klicken Sie in Von HTTPS-Entschlüsselung ausgeschlossene Websites auf Ausschluss hinzufügen.
-
Geben Sie im Dialogfeld Ausschluss hinzufügen Details zur Website ein.
- Geben Sie einen Domänennamen, eine IP-Adresse oder einen IP-Bereich ein. Für Beispiele siehe Website-Ausschlüsse.
- Optional: Fügen Sie einen Kommentar hinzu, um sich daran zu erinnern, warum Sie die Website ausgeschlossen haben.
- Klicken Sie auf Hinzufügen.