跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=SSL-decryption

HTTPS 網站的 SSL/TLS 解密

您可以控制我們是否解密網站以進行檢查。

安全網站 (HTTPS) 已加密,因此我們只能在您允許我們解密內容時才掃描內容。

但是,您可能想將部分或全部網站從解密中排除。這是因為解密可能會讓我們的產品記錄個人資訊並將其顯示在記錄項目中。

如果您開啟 HTTPS 網站的解密功能,我們可能會看到並記錄以下個人資訊:

  • 我們會看到完整的 URL(包括 GET 請求使用的任何其他參數)。
  • 我們會掃描內容,其中可能包含個人隱私資訊 (PPI)。
  • 如果我們偵測到威脅,我們可能會將樣本傳送至 SophosLabs。

Firefox 與解密

Firefox 使用自己的憑證存放區,這會影響 HTTPS 網站的解密。他們也使用自己的 DNS 伺服器,而不使用 Windows DNS 伺服器。

要使解密在 Windows 上正常運作,您需要讓 Firefox 信任 Windows 認證存放區。若要執行此操作,請依照以下步驟操作。

  1. 在網址列中輸入 'about:config',然後按 Enter 鍵。

    可能會出現警告頁面。按一下接受風險並繼續以前往 about:config 頁面。

  2. 將 'security.enterprise_roots.enabled' 設爲 True。

    這會告訴 Firefox 信任 Windows 根憑證存放區。

您還需要告訴 Firefox 使用您的 Windows DNS 伺服器。這對於 Web 防護非常重要,因爲它允許我們在 HTTPS 解密關閉時查看 HTTPS 工作階段的伺服器名稱指示 (SNI) 資訊。有關此內容的說明,請參閱 Firefox DNS-over-HTTPS

開啟或關閉解密

您可以為端點電腦或伺服器的威脅保護原則中的所有網站開啟或關閉 HTTPS 解密。

預設情況下,端點電腦關閉 HTTPS 解密。

  1. 前往 我的產品 > EndpointServer
  2. 按一下原則

  3. 按一下所需的威脅防護原則,然後編輯 HTTPS 網站的 SSL/TLS 解密

    如果套用至某部裝置的威脅防護原則中開啟了解密,則該原則也將用於同一部裝置中的 Web 控制項檢查。

從解密中排除網站

您可以排除某些 HTTPS 網站或網站類別的解密以保護機密資料。

我們會自動封鎖不使用 TLS 1.2 或更新版本的 HTTPS 網站。大多數 Web 瀏覽器(Chrome、Firefox、Edge)也會自動封鎖這些網頁。

如果發生這種情況,您會收到訊息,指出「根據您的原則,我們已封鎖對此 URL 的存取。託管此 URL 的伺服器所使用的加密不安全。」

不安全的 URL 訊息。

您可以為這些網站新增排除項。

注意

如果您排除網站,安全威脅防護網頁控管 原則中的某些設定(掃描下載或封鎖有風險的檔案類型)將不會套用到網站。但是,我們會執行不需要解密的檢查。

有關 Chrome 移除 TLS 1.0 和 1.1 的相關資訊,請參閱 功能:TLS 1.0 和 TLS 1.1(已移除)

若要排除特定網站的解密,請執行下列動作:

  1. 移至我的產品 > 一般設定

  2. 一般下,按一下 HTTPS 網站的 SSL/TLS 解密

    常規設定頁面。

  3. 檢查從 HTTPS 解密中排除的類別。預設情況下,所有列出的類別都會被排除。您可以關閉這些排除項,但無法新增或移除類別。

    要排除特定站點,請繼續執行下一步。

    SSL/TLS 解密頁面上的排除項部分。

  4. 從 HTTPS 解密中排除的網站 中,按一下新增排除項

    「新增排除項」按鈕。

  5. 新增例外項目 對話方塊中,輸入網站的詳細資料。

    1. 輸入網域名稱、IP 位址或 IP 位址範圍。有關範例,請參閱 網站排除項
    2. 可選:新增註解以提醒您為何排除網站。
    3. 按一下新增

    「新增排除項」對話方塊。