Saltar al contenido

Descifrado SSL/TLS de sitios web HTTPS

Puede controlar si desciframos los sitios web para comprobarlos para sus clientes. Si decide hacer esto, sus clientes no podrán realizar cambios.

Nota

Si sus clientes participan en el EAP "Nuevas funciones de Endpoint Protection", pueden activar o desactivar el descifrado para sitios web HTTPS. Pueden realizar cambios en la configuración que elija aquí solo para ordenadores. No pueden realizar cambios en los servidores.

Restricción

Esta función solo está disponible para ordenadores y servidores Windows.

Los sitios web seguros (HTTPS) están cifrados, por lo que solo podemos analizar el contenido si nos permite descifrarlos.

Sin embargo, es posible que desee excluir algunos o todos los sitios del descifrado. Esto se debe a que el descifrado puede permitir que nuestro producto registre información personal y la muestre en las entradas de registro.

Firefox y el descifrado

Firefox utiliza su propio almacén de certificados y esto afecta al descifrado de los sitios web HTTPS. También utiliza sus propios servidores DNS en lugar de utilizar los servidores DNS de Windows.

Para que nuestro descifrado funcione correctamente, hay que decirle a Firefox que confíe en el almacén de certificados de Windows. Para ello, haga lo siguiente:

  1. Introduzca 'about:config' en la barra de direcciones y pulse Intro.

    Es posible que aparezca una página de advertencia. Haga clic en Aceptar el riesgo y continuar para ir a la página about:config.

  2. Establezca el valor de 'security.enterprise_roots.enabled' en true.

    Esto le dice a Firefox que confíe en el almacén de certificados raíz de Windows.

También debe indicar a Firefox que utilice sus servidores DNS de Windows. Esto es importante para la protección web, ya que nos permite ver la información de la indicación de nombre de servidor (SNI) de una sesión HTTPS si el descifrado HTTPS está desactivado. Para obtener ayuda, consulte DNS sobre HTTPS de Firefox.

Activar o desactivar el descifrado

Puede activar o desactivar el descifrado HTTPS para todos los sitios web de las políticas de protección contra amenazas. Debe cambiar y aplicar las políticas que se aplican a los clientes y sus dispositivos.

  1. Vaya a Configuración y políticas > Plantillas globales.
  2. Seleccione la plantilla que desea cambiar o clone una para crear una nueva plantilla.
  3. Compruebe que los clientes que desea estén asociados a la plantilla.
  4. Haga clic en Políticas base.
  5. Vaya a *Endpoint: Protección contra amenazas o Servidor: Protección contra amenazas*.
  6. Edite la configuración de Descifrado SSL/TLS de sitios web HTTPS.

    Si el descifrado está activado en la política de protección contra amenazas para un dispositivo, también se utiliza para las comprobaciones de la política de control web en el mismo dispositivo.

  7. Distribuya la plantilla.

Excluir sitios web del descifrado

Puede excluir algunos sitios web HTTPS o categorías de sitios web del descifrado para proteger datos confidenciales.

Bloqueamos automáticamente los sitios web HTTPS que no utilizan TLS 1.2 o posterior. La mayoría de los navegadores web (Chrome, Firefox, Edge) también bloquean automáticamente estas páginas.

Si esto sucede, recibirá un mensaje que indica: "Hemos bloqueado el acceso a esta URL debido a su política. El cifrado utilizado por el servidor que aloja esta URL no es seguro."

Puede añadir una exclusión para estos sitios web.

Nota

Si excluye sitios web, algunas configuraciones de las políticas Protección contra amenazas y Control web (analizar descargas o bloquear tipos de archivo peligrosos) no se les aplicarán. Sin embargo, haremos comprobaciones de los sitios web que no necesiten descifrarse.

Para obtener información sobre la eliminación de TLS 1.0 y 1.1 en Chrome, consulte Feature: TLS 1.0 and TLS 1.1 (removed).

Para excluir sitios web del descifrado, haga lo siguiente:

  1. Vaya a Configuración y políticas > Plantillas globales.
  2. Seleccione la plantilla que desea cambiar o clone una para crear una nueva plantilla.
  3. Haga clic en Descifrado SSL/TLS de sitios web HTTPS.
  4. Marque las Categorías excluidas del descifrado HTTPS.

    Todas las categorías enumeradas se excluyen de forma predeterminada. Puede desactivar esta exclusión, pero no puede añadir ni quitar categorías.

    Para excluir sitios específicos, vaya al siguiente paso.

  5. En Sitios web excluidos del descifrado HTTPS, haga clic en Añadir exclusión.

  6. En el cuadro de diálogo Añadir exclusión, introduzca los detalles del sitio web.

    1. Introduzca un nombre de dominio, una dirección IP o un intervalo de direcciones IP.

    2. Opcional: Añada un comentario para recordar por qué ha excluido el sitio.

    3. Haga clic en Añadir.

Volver al principio