Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/customer/help/fr-fr/index.html?contextId=SSL-decryption

Déchiffrement SSL/TLS de sites Web HTTPS

Vous pouvez décider de déchiffrer ou pas les sites Web pour les vérifier.

Les sites Web sécurisés (HTTPS) sont chiffrés, nous pouvons donc uniquement contrôler le contenu si vous nous autorisez à les déchiffrer.

Vous pouvez cependant exclure certains ou tous les sites du déchiffrement. En effet, le déchiffrement peut laisser notre produit enregistrer des informations personnelles et les afficher dans les entrées de journal.

Si vous activez le déchiffrement des sites Web HTTPS, nous pouvons voir et enregistrer les informations personnelles comme suit :

  • Nous voyons l’URL complète (y compris tous les paramètres supplémentaires utilisés par une requête GET).
  • Nous contrôlons le contenu, qui peut inclure des informations personnelles privées (PPI).
  • Si nous détectons une menace, nous pouvons envoyer un échantillon à SophosLabs.

Déchiffrement dans Firefox

Firefox utilise son propre magasin de certificats, ce qui affecte le déchiffrement des sites Web HTTPS. Le système d’exploitation utilise également ses propres serveurs DNS au lieu des serveurs DNS Windows.

Pour que notre déchiffrement fonctionne correctement sur Windows, veuillez configurer Firefox pour qu’il fasse confiance au magasin de certificats Windows. Procédez de la manière suivante :

  1. Saisissez 'about:config' dans la barre d’adresse et appuyez sur Entrée.

    Il est possible qu’un message d’avertissement s’affiche. Cliquez sur Accepter le risque et continuer pour accéder à la page about:config.

  2. Définissez 'security.Enterprise_roots.enabled' comme Vrai.

    Ceci signale à Firefox de faire confiance au magasin de certificats root de Windows.

Configurez également Firefox pour qu’il utilise vos serveurs DNS Windows. Ceci est important pour la protection du Web car nous pouvons voir les informations SNI (Server Name Indication) d’une session HTTPS si le déchiffrement HTTPS est désactivé. Pour obtenir de l’aide à ce sujet, consultez Firefox DNS-over-HTTPS.

Activer ou désactiver le déchiffrement

Vous pouvez activer ou désactiver le déchiffrement HTTPS pour tous les sites Web de vos stratégies de protection contre les menaces pour les ordinateurs ou les serveurs.

Par défaut, le déchiffrement HTTPS est désactivé pour les ordinateurs.

  1. Allez dans Mes produits > Endpoint ou Server.
  2. Cliquez sur Stratégies.

  3. Cliquez sur la stratégie Protection contre les menaces souhaitée et modifiez le paramètre correspondant au Déchiffrement SSL/TLS de sites Web HTTPS.

    Si le déchiffrement est activé dans la stratégie de Protection contre les menaces appliquée à un appareil, il est également utilisé pour les vérifications de contrôle Web sur le même appareil.

Exclure des sites Web du déchiffrement

Vous pouvez exclure certains sites Web HTTPS ou catégories de site Web du déchiffrement pour protéger les données sensibles.

Nous bloquons automatiquement les sites Web HTTPS qui n’utilisent pas TLS 1.2 ou version ultérieure. La plupart des navigateurs Web (Chrome, Firefox, Edge) bloquent également automatiquement ces pages.

Dans ces cas là, le message suivant s’affiche : « Nous avons bloqué l’accès à cette URL conformément à votre stratégie de sécurité. Le chiffrement utilisé par le serveur hébergeant cette URL n’est pas sécurisé. »

Message URL non sécurisé.

Vous pouvez configurer une exclusion pour ces sites Web.

Remarque

Si vous excluez des sites Web, certains paramètres de vos stratégies Protection contre les menaces et Web Control (contrôle des téléchargements ou blocage des types de fichiers dangereux) ne seront pas appliqués aux sites en question. Toutefois, nous effectuerons les vérifications qui n’ont pas besoin de déchiffrement.

Retrouvez plus de renseignements sur la suppression de Chrome TLS 1.0 et 1.1 sur Fonction : TLS 1.0 et TLS 1.1 (supprimé).

Pour exclure des sites Web du déchiffrement, procédez de la manière suivante :

  1. Allez dans Mes produits > Paramètres généraux.

  2. Sous Général, cliquez sur Déchiffrement SSL/TLS de sites Web HTTPS.

    Page Paramètres généraux.

  3. Cochez les Catégories exclues du déchiffrement HTTPS. Toutes les catégories répertoriées sont exclues par défaut. Il est possible de désactiver ces exclusions, mais pas d’ajouter ou de supprimer des catégories.

    Pour exclure des sites spécifiques, passez à l’étape suivante.

    Section Exclusions de la page de déchiffrement SSL/TLS.

  4. Dans Sites Web exclus du déchiffrement HTTPS, cliquez sur Ajouter une exclusion.

    Bouton « Ajouter une exclusion ».

  5. Dans la boîte de dialogue Ajouter une exclusion, saisissez les détails du site Web.

    1. Saisissez un nom de domaine, une adresse IP ou une plage d’adresses IP. Retrouvez plus d’exemples sur Exclusions de sites Web
    2. Facultatif : Ajoutez un commentaire pour vous rappeler pourquoi vous avez exclu le site.
    3. Cliquez sur Ajouter.

    Boîte de dialogue « Ajouter une exclusion ».