Zum Inhalt

SSL/TLS-Entschlüsselung von HTTPS-Websites

Sie können steuern, ob wir Websites entschlüsseln, um sie für Ihre Kunden zu überprüfen. Wenn Sie sich dafür entscheiden, können Ihre Kunden keine Änderungen vornehmen.

Hinweis

Wenn Ihre Kunden am EAP „Neue Funktionen von Endpoint Protection“ teilnehmen, können sie die Entschlüsselung für HTTPS-Websites ein- oder ausschalten. Sie können Änderungen an den hier ausgewählten Einstellungen nur für Computer vornehmen. Sie können keine Änderungen für Server vornehmen.

Einschränkung

Diese Funktion ist nur für Windows-Computer oder Server verfügbar.

Sichere Websites (HTTPS) sind verschlüsselt, sodass wir die Inhalte nur scannen können, wenn Sie sie uns entschlüsseln lassen.

Möglicherweise möchten Sie jedoch einige oder alle Websites von der Entschlüsselung ausschließen. Bei der Entschlüsselung könnte unser Produkt personenbezogene Daten erfassen und in Protokolleinträgen verzeichnen.

Wenn Sie die Entschlüsselung von HTTPS-Webseiten einschalten, können wir auf die folgenden personenbezogenen Daten zugreifen und diese speichern:

  • Wir sehen die vollständige URL (einschließlich aller weiteren Parameter, die in einer GET-Anforderung enthalten sind).
  • Wir scannen die Inhalte. Diese enthalten möglicherweise private oder personenbezogene Daten.
  • Wenn wir eine Bedrohung entdecken, schicken wir möglicherweise eine Sample-Datei zu SophosLabs.

Firefox und Entschlüsselung

Firefox verwendet einen eigenen Zertifikatspeicher, was sich auf die Entschlüsselung von HTTPS-Websites auswirkt. Firefox verwendet auch einen eigenen DNS-Server anstelle der Windows DNS-Server.

Damit unsere Entschlüsselung korrekt funktioniert, müssen Sie Firefox anweisen, dem Windows-Zertifikatsspeicher zu vertrauen. Verfahren Sie wie folgt:

  1. Geben Sie in der Adressleiste 'about:config' ein und drücken Sie die Eingabetaste.

    Möglicherweise wird eine Warnseite angezeigt. Klicken Sie auf Risiko akzeptieren und fortfahren, um zur Seite „about:config“ zu gelangen.

  2. Setzen Sie 'security.enterprise_roots.enabled' auf True.

    Dadurch wird Firefox angewiesen, dem Windows-Stammzertifikatspeicher zu vertrauen.

Sie müssen Firefox auch dazu konfigurieren, Ihre Windows DNS-Server zu verwenden. Dies ist für die Web Protection wichtig, da wir dadurch die SNI-Informationen (Server Name Indication) einer HTTPS-Sitzung sehen können, wenn die HTTPS-Entschlüsselung deaktiviert ist. Hilfe hierzu finden Sie unter DNS über HTTPS in Firefox.

Aktivieren/Deaktivieren der Verschlüsselung

Sie können die HTTPS-Entschlüsselung für alle Websites in Ihren Threat Protection-Richtlinien ein- oder ausschalten. Sie müssen die Richtlinien, die für die Kunden und deren Geräte gelten, ändern und übertragen.

  1. Gehen Sie zu Einstellungen & Richtlinien > Globale Vorlagen.
  2. Wählen Sie die Vorlage aus, die Sie ändern oder klonen möchten, um eine neue Vorlage zu erstellen.
  3. Überprüfen Sie, ob die gewünschten Kunden mit der Vorlage verknüpft sind.
  4. Klicken Sie auf Basisrichtlinien.
  5. Gehen Sie zu Endpoint: Threat Protection oder Server: Threat Protection.
  6. Bearbeiten Sie die Einstellungen für die SSL/TLS-Entschlüsselung von HTTPS-Websites.

    Wenn in der Threat-Protection-Richtlinie Entschlüsselung für ein Gerät eingeschaltet ist, wird diese auf dem Gerät auch für die Web-Control-Richtlinienüberprüfung verwendet.

  7. Übertragen Sie die Vorlage.

Websites von Entschlüsselung ausschließen

Sie können bestimmte HTTPS-Websites oder Website-Kategorien von der Entschlüsselung ausschließen, um vertrauliche Daten zu schützen.

Wir blockieren automatisch HTTPS-Websites, die TLS 1.2 oder höher nicht verwenden. Die meisten Webbrowser (Chrome, Firefox, Edge) blockieren diese Seiten ebenfalls automatisch.

In diesem Fall wird eine Meldung angezeigt: „Aufgrund der für Sie geltenden Richtlinie haben wir den Zugriff auf diese Seite gesperrt. Der Server, auf dem die Seite liegt, verwendet eine unsichere Verschlüsselung.“

Sie können Ausschlüsse für diese Webseiten hinzufügen.

Hinweis

Wenn Sie Websites ausschließen, gelten bestimmte Einstellungen in Ihren Schutz vor Bedrohungen- und Web Control-Richtlinien (Scannen von Downloads oder Blockieren riskanter Dateitypen) nicht für diese. Allerdings führen wir weiterhin alle Prüfungen durch, die keine Entschlüsselung benötigen.

Informationen zum Entfernen von TLS 1.0 und 1.1 durch Chrome finden Sie unter Funktion: TLS 1.0 und TLS 1.1 (entfernt).

Gehen Sie wie folgt vor, um Websites von der Entschlüsselung auszuschließen:

  1. Gehen Sie zu Einstellungen & Richtlinien > Globale Vorlagen.
  2. Wählen Sie die Vorlage aus, die Sie ändern oder klonen möchten, um eine neue Vorlage zu erstellen.
  3. Klicken Sie auf SSL/TLS-Entschlüsselung von HTTPS-Websites.
  4. Überprüfen Sie die von Von HTTPS-Entschlüsselung ausgeschlossene Kategorien.

    Alle aufgeführten Kategorien werden standardmäßig ausgeschlossen. Sie können diese Ausschlüsse deaktivieren, können jedoch keine Kategorien hinzufügen oder entfernen.

    Um bestimmte Standorte auszuschließen, fahren Sie mit dem nächsten Schritt fort.

  5. Klicken Sie in Von HTTPS-Entschlüsselung ausgeschlossene Websites auf Ausschluss hinzufügen.

  6. Geben Sie im Dialogfeld Ausschluss hinzufügen Details zur Website ein.

    1. Geben Sie einen Domänennamen, eine IP-Adresse oder einen IP-Bereich ein.
    2. Optional: Fügen Sie einen Kommentar hinzu, um sich daran zu erinnern, warum Sie die Website ausgeschlossen haben.
    3. Klicken Sie auf Hinzufügen.