Saltar al contenido

Enlace permanente de la página

Utilice siempre el siguiente enlace permanente cuando haga referencia a esta página. No se modificará en futuras versiones de la ayuda.

https://docs.sophos.com/central/partner/help/es-es/index.html?contextId=HTTPS-decryption

Descifrado SSL/TLS de sitios web HTTPS

Puede controlar si desciframos los sitios web para comprobarlos para sus clientes. Si decide hacer esto, sus clientes no podrán realizar cambios.

Note

Si sus clientes participan en el EAP "Nuevas funciones de Endpoint Protection", pueden activar o desactivar el descifrado para sitios web HTTPS. Pueden realizar cambios en la configuración que elija aquí solo para ordenadores. No pueden realizar cambios en los servidores.

Restricciones

Esta función solo está disponible para ordenadores y servidores Windows.

Los sitios web seguros (HTTPS) están cifrados, por lo que solo podemos analizar el contenido si nos permite descifrarlos.

Sin embargo, es posible que desee excluir algunos o todos los sitios del descifrado. Esto se debe a que el descifrado puede permitir que nuestro producto registre información personal y la muestre en las entradas de registro.

Si activa el descifrado de sitios web HTTPS, podemos ver y registrar información personal de la siguiente manera:

  • Vemos la dirección URL completa (incluidos los parámetros adicionales utilizados por una solicitud GET).
  • Escaneamos el contenido, que puede incluir información personal privada (PPI).
  • Si detectamos una amenaza, podemos enviar una muestra a SophosLabs.

Firefox y el descifrado

Firefox utiliza su propio almacén de certificados y esto afecta al descifrado de los sitios web HTTPS. También utiliza sus propios servidores DNS en lugar de utilizar los servidores DNS de Windows.

Para que nuestro descifrado funcione correctamente, hay que decirle a Firefox que confíe en el almacén de certificados de Windows. Para ello, haga lo siguiente:

  1. Introduzca 'about:config' en la barra de direcciones y pulse Intro.

    Es posible que aparezca una página de advertencia. Haga clic en Aceptar el riesgo y continuar para ir a la página about:config.

  2. Establezca el valor de 'security.enterprise_roots.enabled' en true.

    Esto le dice a Firefox que confíe en el almacén de certificados raíz de Windows.

También debe indicar a Firefox que utilice sus servidores DNS de Windows. Esto es importante para la protección web, ya que nos permite ver la información de la indicación de nombre de servidor (SNI) de una sesión HTTPS si el descifrado HTTPS está desactivado. Para obtener ayuda, consulte DNS sobre HTTPS de Firefox.

Activar o desactivar el descifrado

Puede activar o desactivar el descifrado HTTPS para todos los sitios web de las políticas de protección contra amenazas. Debe cambiar y aplicar las políticas que se aplican a los clientes y sus dispositivos.

  1. Haga clic en el icono Configuración y políticas Icono Configuración y políticas..
  2. En Configuración de cliente global, haga clic en Plantillas globales.

  3. Seleccione una plantilla.

    Note

    Esto activa el descifrado SSL/TLS para todos los clientes de esta plantilla.

  4. Haga clic en Políticas base.

  5. En Endpoint Protection o Server Protection, haga clic en Protección contra amenazas.

  6. En Descifrado SSL/TLS de sitios web HTTPS, active Descifrar sitios web HTTPS usando SSL/TLS.

    Si el descifrado está activado en la política de protección contra amenazas de un dispositivo, también se activa para las comprobaciones de control web en ese dispositivo.

  7. En Políticas base, haga clic en Imponer a clientes.

  8. En el cuadro de diálogo Imponer a clientes, haga clic en Imponer para confirmar.

Excluir sitios web del descifrado

Puede excluir algunos sitios web HTTPS o categorías de sitios web del descifrado para proteger datos confidenciales.

Bloqueamos automáticamente los sitios web HTTPS que no utilizan TLS 1.2 o posterior. La mayoría de los navegadores web (Chrome, Firefox, Edge) también bloquean automáticamente estas páginas.

Si esto sucede, recibirá un mensaje que indica: "Hemos bloqueado el acceso a esta URL debido a su política. El cifrado utilizado por el servidor que aloja esta URL no es seguro."

Puede añadir una exclusión para estos sitios web.

Note

Si excluye sitios web, algunas configuraciones de las políticas Protección contra amenazas y Control web (analizar descargas o bloquear tipos de archivo peligrosos) no se les aplicarán. Sin embargo, haremos comprobaciones de los sitios web que no necesiten descifrarse.

Para obtener información sobre la eliminación de TLS 1.0 y 1.1 en Chrome, consulte Feature: TLS 1.0 and TLS 1.1 (eliminado).

Para excluir sitios web del descifrado, haga lo siguiente:

  1. Haga clic en el icono Configuración y políticas Icono Configuración y políticas..
  2. En Configuración de cliente global, haga clic en Plantillas globales.

  3. Seleccione una plantilla.

    Note

    Esto excluye los sitios web del descifrado para todos los clientes de esta plantilla.

  4. Haga clic en Configuración global y en Descifrado SSL/TLS de HTTPS.

  5. Marque las Categorías excluidas del descifrado HTTPS.

    Todas las categorías enumeradas se excluyen de forma predeterminada. Puede desactivar estas exclusiones, pero no puede añadir ni quitar categorías.

    Para excluir sitios específicos, vaya al siguiente paso.

  6. En Sitios web excluidos del descifrado HTTPS, haga clic en Añadir exclusión.

  7. En el cuadro de diálogo Añadir exclusión, introduzca los siguientes datos:

    1. Introduzca un nombre de dominio, una dirección IP o un intervalo de direcciones IP.
    2. (Opcional) Añada un comentario para recordar por qué ha excluido el sitio web.
    3. Haga clic en Añadir.

  8. En la página Descifrado SSL/TLS de HTTPS, haga clic en Guardar.