Aller au contenu

Déchiffrement SSL/TLS de sites Web HTTPS

Vous pouvez décider de nous laisser déchiffrer ou pas les sites Web afin les vérifier pour vos clients. Si vous choisissez de le faire, vos clients ne peuvent pas apporter de modifications.

Remarque

Si vos clients participent au programme d’accès anticipé (EAP) des Nouvelles fonctions d’Endpoint Protection, ils peuvent activer ou désactiver le déchiffrement pour les sites Web HTTPS. Ils peuvent uniquement effectuer des modifications aux paramètres que vous choisissez ici pour les ordinateurs. Ils ne peuvent pas effectuer de modifications pour les serveurs.

Restriction

Cette fonction est uniquement disponible sur les ordinateurs ou serveurs Windows.

Les sites Web sécurisés (HTTPS) sont chiffrés, nous pouvons donc uniquement contrôler le contenu si vous nous autorisez à les déchiffrer.

Vous pouvez cependant exclure certains ou tous les sites du déchiffrement. En effet, le déchiffrement peut laisser notre produit enregistrer des informations personnelles et les afficher dans les entrées de journal.

Si vous activez le déchiffrement des sites Web HTTPS, nous pouvons voir et enregistrer les informations personnelles comme suit :

  • Nous voyons l’URL complète (y compris tous les paramètres supplémentaires utilisés par une requête GET).
  • Nous contrôlons le contenu, qui peut inclure des informations personnelles privées (PPI).
  • Si nous détectons une menace, nous pouvons envoyer un échantillon à SophosLabs.

Déchiffrement dans Firefox

Firefox utilise son propre magasin de certificats, ce qui affecte le déchiffrement des sites Web HTTPS. Le système d’exploitation utilise également ses propres serveurs DNS au lieu des serveurs DNS Windows.

Pour que notre déchiffrement fonctionne correctement, il faudra configurer Firefox pour qu’il fasse confiance au magasin de certificats Windows. Pour ceci, procédez de la manière suivante :

  1. Saisissez 'about:config' dans la barre d’adresse et appuyez sur Entrée.

    Il est possible qu’un message d’avertissement s’affiche. Cliquez sur Accepter le risque et continuer pour accéder à la page about:config.

  2. Définissez 'security.Enterprise_roots.enabled' comme Vrai.

    Ceci signale à Firefox de faire confiance au magasin de certificats root de Windows.

Configurez également Firefox pour qu’il utilise vos serveurs DNS Windows. Ceci est important pour la protection du Web car nous pouvons voir les informations SNI (Server Name Indication) d’une session HTTPS si le déchiffrement HTTPS est désactivé. Pour obtenir de l’aide à ce sujet, consultez Firefox DNS-over-HTTPS.

Activation ou désactivation du déchiffrement

Vous pouvez activer ou désactiver le déchiffrement HTTPS pour tous les sites Web dans vos stratégies de protection contre les menaces. Vous devez modifier et déployer les stratégies qui s’appliquent aux clients et à leurs appareils.

  1. Allez dans Paramètres et stratégies > Modèles généraux.
  2. Sélectionnez le modèle que vous souhaitez modifier ou cloner pour créer un nouveau modèle.
  3. Vérifiez que les clients désirés sont associés au modèle.
  4. Cliquez sur Stratégies de base.
  5. Allez dans Endpoint : Protection contre les menaces ou Serveur : Protection contre les menaces.
  6. Modifiez les paramètres de Déchiffrement SSL/TLS de sites Web HTTPS.

    Si le déchiffrement est activé dans la stratégie de Protection contre les menaces appliquée à un appareil, il est également utilisé pour les vérifications de contrôle Web sur le même appareil.

  7. Déployer un modèle.

Exclure des sites Web du déchiffrement

Vous pouvez exclure certains sites Web HTTPS ou catégories de site Web du déchiffrement pour protéger les données sensibles.

Nous bloquons automatiquement les sites Web HTTPS qui n’utilisent pas TLS 1.2 ou version ultérieure. La plupart des navigateurs Web (Chrome, Firefox, Edge) bloquent également automatiquement ces pages.

Dans ces cas là, le message suivant s’affiche : « Nous avons bloqué l’accès à cette URL conformément à votre stratégie de sécurité. Le chiffrement utilisé par le serveur hébergeant cette URL n’est pas sécurisé. »

Vous pouvez configurer une exclusion pour ces sites Web.

Remarque

Si vous excluez des sites Web, certains paramètres de vos stratégies Protection contre les menaces et Web Control (contrôle des téléchargements ou blocage des types de fichiers dangereux) ne seront pas appliqués aux sites en question. Toutefois, nous effectuerons les vérifications qui n’ont pas besoin de déchiffrement.

Retrouvez plus de renseignements sur la suppression de Chrome TLS 1.0 et 1.1 sur Fonction : TLS 1.0 et TLS 1.1 (supprimé).

Pour exclure des sites Web du déchiffrement, procédez de la manière suivante :

  1. Allez dans Paramètres et stratégies > Modèles généraux.
  2. Sélectionnez le modèle que vous souhaitez modifier ou cloner pour créer un nouveau modèle.
  3. Cliquez sur Déchiffrement SSL/TLS de sites Web HTTPS
  4. Cochez les Catégories exclues du déchiffrement HTTPS.

    Toutes les catégories répertoriées sont exclues par défaut. Il est possible de désactiver ces exclusions, mais pas d’ajouter ou de supprimer des catégories.

    Pour exclure des sites spécifiques, passez à l’étape suivante.

  5. Dans Sites Web exclus du déchiffrement HTTPS, cliquez sur Ajouter une exclusion.

  6. Dans la boîte de dialogue Ajouter une exclusion, saisissez les détails du site Web.

    1. Saisissez un nom de domaine, une adresse IP ou une plage d’adresses IP.
    2. Facultatif : Ajoutez un commentaire pour vous rappeler pourquoi vous avez exclu le site.
    3. Cliquez sur Ajouter.