Vai al contenuto

Decifratura SSL/TLS di siti web HTTPS

È possibile controllare se le nostre soluzioni siano autorizzate a decifrare i siti web a scopo do verifica.

Restrizione

Questa funzionalità è disponibile solamente per i computer endpoint Windows.

I siti web sicuri (HTTPS) sono cifrati, quindi possiamo eseguire la scansione dei loro contenuti solo se siamo autorizzati a decifrarli.

Tuttavia, è possibile escludere alcuni o tutti i siti dalla decifratura. Questo è perché la decifratura potrebbe consentire al nostro prodotto di registrare informazioni personali e di inserirli nelle voci dei log.

Firefox e decifratura

Firefox utilizza il proprio archivio certificati e questo ha ripercussioni sulla decifratura dei siti web HTTPS. Inoltre, utilizza i propri server DNS, invece dei server DNS di Windows.

Per il corretto funzionamento della decifratura, occorre configurare Firefox in modo che consideri attendibile l’archivio certificati di Windows. Per farlo, procedere come segue:

  1. Immettere “about:config” nella barra degli indirizzi e premere Invio.

    Potrebbe venire visualizzata una pagina di avviso. Cliccare su Accetta il rischio e continua per aprire la pagina about:config.

  2. Impostare “security.Enterprise_Roots.Enabled” come “true”.

    Così facendo, si indica a Firefox di considerare attendibile l’archivio radice dei certificati di Windows.

Occorre inoltre configurare Firefox in modo che utilizzi i server DNS di Windows. Questo passaggio è importante per la protezione web, poiché ci consente di visualizzare le informazioni sull’indicazione nome server (SNI, Server Name Indication) di una sessione HTTPS se la decifratura HTTPS è disattivata. Per ulteriori informazioni su questo argomento, vedere la pagina Firefox Informazioni su DNS over HTTPS.

Attivazione o disattivazione della decifratura

È possibile attivare o disattivare la decifratura HTTPS per tutti i siti web nei criteri di Protezione dalle minacce per computer endpoint o server.

Per impostazione predefinita, la decifratura HTTPS è attivata per i computer endpoint.

  1. Selezionare Endpoint Protection o Server Protection.

  2. Cliccare su Criteri.

  3. Cliccare sul criterio di Protezione dalle minacce desiderato e modificare l'impostazione Decifratura SSL/TLS di siti web HTTPS.

    Se la decifratura è attivata nel criterio di Protezione dalle minacce applicato a un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

Esclusione di siti web dalla decifratura

È possibile escludere alcuni siti web HTTPS o categorie di siti web dalla decifratura per proteggere i dati riservati.

I siti web HTTPS che non utilizzano TLS 1.2 o versioni successive vengono automaticamente bloccati. Anche la maggior parte dei browser web (Chrome, Firefox, Edge) blocca automaticamente queste pagine.

In questo caso, viene visualizzato il messaggio: “Abbiamo bloccato l’accesso a questo URL per via del criterio. La cifratura utilizzata dal server che ospita questo URL non è sicura”.

Messaggio URL non sicuro

È possibile aggiungere un’esclusione per questi siti web.

Nota

Se si escludono siti web, alcune impostazioni dei criteri di Protezione dalle minacce e Web Control (scansione dei download o blocco dei tipi di file rischiosi) non verranno applicate a tali siti. Tuttavia, continueremo a eseguire le verifiche che non richiedono la decifratura.

Per informazioni sulla rimozione di TLS 1.0 e 1.1 da Chrome, vedere Feature: TLS 1.0 and TLS 1.1 (removed).

Per escludere siti web dalla decifratura, procedere come segue:

  1. Selezionare Panoramica > Impostazioni globali.

    Menu di panoramica

  2. Sotto Endpoint Protection, cliccare su Decifratura SSL/TLS di siti web HTTPS.

    Pagina delle Impostazioni globali

  3. Verificare le Categorie escluse dalla decifratura HTTPS. Per impostazione predefinita, tutte le categorie elencate sono escluse. Queste esclusioni possono essere disattivate, ma non è possibile aggiungere o rimuovere categorie.

    Per escludere siti specifici, procedere con il passaggio successivo.

    Sezione Esclusioni nella pagina della Decifratura SSL/TLS

  4. In Siti web esclusi dalla decifratura HTTPS, cliccare su Aggiungi esclusione.

    Pulsante "Aggiungi esclusione"

  5. Nella finestra di dialogo Aggiungi esclusione, immettere i dettagli del sito web.

    1. Inserire un nome di dominio, un indirizzo IP o un intervallo di indirizzi IP. Per alcuni esempi, vedere Esclusioni per i siti web.

    2. Opzionale: Aggiungere un commento come promemoria del motivo per cui è stato escluso il sito.

    3. Cliccare su Aggiungi.

    Finestra di dialogo "Aggiungi esclusione"

Torna su