Pular para o conteúdo

Decodificação de SSL/TLS de sites HTTPS

Você pode controlar se decodificamos ou não sites para verificá-los.

Restrição

Este recurso está disponível apenas para computadores endpoint Windows.

Os sites seguros (HTTPS) são criptografados, de modo que só podemos verificar o conteúdo se você nos permitir decodificá-los.

No entanto, talvez você queira excluir alguns ou todos os sites da decodificação. Isso porque a decodificação pode permitir que nosso produto registre informações pessoais e as exiba nas entradas de log.

Firefox e descriptografia

O Firefox usa a sua própria loja de certificados e isso afeta a descriptografia de sites HTTPS. Ele também usa seus próprios servidores DNS em vez de usar os servidores DNS do Windows.

Para que nossa descriptografia funcione corretamente, você precisa informar o Firefox para confiar na loja de certificados do Windows. Para isso, siga este procedimento:

  1. Digite 'about:config' na barra de endereços e pressione Enter.

    Uma página de aviso pode ser exibida. Clique em Accept the Risk and Continue para ir para a página about:config.

  2. Defina 'security.enterprise_roots.enabled' como True.

    Isso instrui o Firefox a confiar na loja de certificados raiz do Windows.

Você também precisa informar o Firefox para usar os seus servidores DNS do Windows. Isso é importante para a proteção da Web, pois nos permite ver as informações de indicação do nome do servidor (SNI) de uma sessão HTTPS se a descriptografia HTTPS estiver desativada. Para obter ajuda sobre isso, consulte Firefox DNS-over-HTTPS.

Ativar ou desativar a decodificação

Você pode ativar ou desativar a decodificação (descriptografia) HTTPS para todos os sites nas suas políticas de Proteção contra Ameaças em servidores ou computadores endpoint.

Por padrão, a decodificação HTTPS está ativada para computadores endpoint.

  1. Vá para Proteção de endpoint ou Proteção de servidor.

  2. Clique em Políticas.

  3. Clique na política de Proteção contra ameaças desejada e edite a configuração de Decodificação de SSL/TLS de sites HTTPS.

    Se a decodificação estiver ativada na política de Proteção contra Ameaças que se aplica a um dispositivo, ela também estará ativada para verificações da política de Controle da Web nesse dispositivo.

Excluir sites da decodificação

Você pode excluir alguns sites HTTPS ou categorias de sites da decodificação para proteger dados confidenciais.

Bloqueamos automaticamente sites HTTPS que não usam TLS 1.2 ou posterior. A maioria dos navegadores da Web (Chrome, Firefox, Edge) também bloqueia automaticamente essas páginas.

Se isso acontecer, você receberá uma mensagem informando "Bloqueamos o acesso a esta URL devido à sua política. A criptografia utilizada pelo servidor que hospeda esta URL não é segura.

Mensagem de URL não segura

Você pode adicionar uma exclusão a estes sites da web.

Nota

Se você excluir sites da Web, algumas configurações nas políticas de Proteção contra ameaças e Controle da Web (varredura de downloads ou bloqueio de tipos de arquivos arriscados) não se aplicarão a eles. Contudo, realizaremos verificações que não precisam de decodificação.

Para obter informações sobre o Chrome ter removido o TLS 1.0 e 1.1, consulte Feature: TLS 1.0 and TLS 1.1 (removed).

Para excluir sites da decodificação, faça o seguinte:

  1. Vá para Visão Geral > Configurações globais.

    Menu de visão geral

  2. Em Proteção de Endpoint, clique em Decodificação de SSL/TLS de sites HTTPS.

    Página de configurações globais

  3. Verifique as Categorias excluídas da decodificação de HTTPS. Todas as categorias listadas são excluídas por padrão. Você pode desativar essas exclusões, mas não pode adicionar ou remover categorias.

    Para excluir sites específicos, vá para a próxima etapa.

    Seção de exclusões na página de decodificação SSL/TLS

  4. Em Sites excluídos da decodificação de HTTPS, clique em Adicionar exclusão.

    Botão "Adicionar exclusão"

  5. Na caixa de diálogo Adicionar exclusão, insira os detalhes do site.

    1. Insira um nome de domínio, um endereço de IP ou um intervalo de endereços de IP. Para obter exemplos, consulte Exclusões de sites da web.

    2. Opcional: Adicione um comentário para relembrá-lo do motivo pelo qual você excluiu o site.

    3. Clique em Adicionar.

    Caixa de diálogo "Adicionar exclusão"

Voltar ao topo