Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=SSL-decryption

Descriptografia de SSL/TLS de sites HTTPS

Você pode controlar se decodificamos ou não sites para verificá-los.

Os sites seguros (HTTPS) são criptografados, de modo que só podemos verificar o conteúdo se você nos permitir decodificá-los.

No entanto, talvez você queira excluir alguns ou todos os sites da decodificação. Isso porque a decodificação pode permitir que nosso produto registre informações pessoais e as exiba nas entradas de log.

Se você ativar a descriptografia de sites HTTPS, poderemos ver e registrar informações pessoais da seguinte forma:

  • Vemos a URL completa (incluindo parâmetros adicionais usados por uma solicitação GET).
  • Fazemos a varredura do conteúdo, que pode incluir informações pessoais privadas (PPI).
  • Se detectarmos uma ameaça, poderemos enviar uma amostra para o SophosLabs.

Firefox e descriptografia

O Firefox usa a sua própria loja de certificados e isso afeta a descriptografia de sites HTTPS. Ele também usa seus próprios servidores DNS em vez de usar os servidores DNS do Windows.

Para que nossa descriptografia funcione corretamente no Windows, você precisa informar o Firefox para confiar na loja de certificados do Windows. Para isso, siga este procedimento:

  1. Digite 'about:config' na barra de endereços e pressione Enter.

    Uma página de aviso pode ser exibida. Clique em Accept the Risk and Continue para ir para a página about:config.

  2. Defina 'security.enterprise_roots.enabled' como True.

    Isso instrui o Firefox a confiar na loja de certificados raiz do Windows.

Você também precisa informar o Firefox para usar os seus servidores DNS do Windows. Isso é importante para a proteção da Web, pois nos permite ver as informações de indicação do nome do servidor (SNI) de uma sessão HTTPS se a descriptografia HTTPS estiver desativada. Para obter ajuda sobre isso, consulte Firefox DNS-over-HTTPS.

Ativar ou desativar a decodificação

Você pode ativar ou desativar a decodificação (descriptografia) HTTPS para todos os sites nas suas políticas de Proteção contra Ameaças em servidores ou computadores endpoint.

Por padrão, a descriptografia HTTPS está desativada para computadores endpoint.

  1. Vá para Meus produtos > Endpoint o Server.
  2. Clique em Políticas.

  3. Clique na política de Proteção contra ameaças desejada e edite a configuração de Descriptografia de SSL/TLS de sites HTTPS.

    Se a descriptografia estiver ativada na política de Proteção contra Ameaças que se aplica a um dispositivo, ela também estará ativada para verificações da política de Controle da Web nesse dispositivo.

Excluir sites da decodificação

Você pode excluir alguns sites HTTPS ou categorias de sites da decodificação para proteger dados confidenciais.

Bloqueamos automaticamente sites HTTPS que não usam TLS 1.2 ou posterior. A maioria dos navegadores da Web (Chrome, Firefox, Edge) também bloqueia automaticamente essas páginas.

Se isso acontecer, você receberá uma mensagem informando "Bloqueamos o acesso a esta URL devido à sua política. A criptografia utilizada pelo servidor que hospeda esta URL não é segura.

Mensagem de URL não segura.

Você pode adicionar uma exclusão a estes sites da web.

Nota

Se você excluir sites da Web, algumas configurações nas políticas de Proteção contra ameaças e Controle da Web (varredura de downloads ou bloqueio de tipos de arquivos arriscados) não se aplicarão a eles. Contudo, realizaremos verificações que não precisam de decodificação.

Para obter informações sobre o Chrome ter removido o TLS 1.0 e 1.1, consulte Feature: TLS 1.0 and TLS 1.1 (removed).

Para excluir sites da decodificação, faça o seguinte:

  1. Vá para Meus produtos > Configurações gerais.

  2. Em Geral, clique em Descriptografia de SSL/TLS de sites HTTPS.

    Página Configurações gerais.

  3. Verifique as Categorias excluídas da decodificação de HTTPS. Todas as categorias listadas são excluídas por padrão. Você pode desativar essas exclusões, mas não pode adicionar ou remover categorias.

    Para excluir sites específicos, vá para a próxima etapa.

    Seção de exclusões na página de decodificação SSL/TLS.

  4. Em Sites excluídos da decodificação de HTTPS, clique em Adicionar exclusão.

    Botão "Adicionar exclusão".

  5. Na caixa de diálogo Adicionar exclusão, insira os detalhes do site.

    1. Insira um nome de domínio, um endereço de IP ou um intervalo de endereços de IP. Para obter exemplos, consulte Exclusões de sites da web.
    2. Opcional: Adicione um comentário para relembrá-lo do motivo pelo qual você excluiu o site.
    3. Clique em Adicionar.

    Caixa de diálogo "Adicionar exclusão".