Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/partner/help/it-it/index.html?contextId=HTTPS-decryption

Decifratura SSL/TLS di siti web HTTPS

È possibile controllare se le nostre soluzioni debbano essere autorizzate a decifrare i siti web dei clienti, a scopo di verifica. Se si decide di procedere in questo modo, i clienti non potranno apportare modifiche.

Note

Se i clienti partecipano all’EAP “Nuove funzionalità di Endpoint Protection”, possono attivare o disattivare la decifratura per i siti web HTTPS. Possono apportare modifiche alle impostazioni che sono state specificate. Non possono apportare modifiche per i server.

Restrizione

Questa funzionalità è disponibile solamente per computer e server Windows.

I siti web sicuri (HTTPS) sono cifrati, quindi possiamo eseguire la scansione dei loro contenuti solo se siamo autorizzati a decifrarli.

Tuttavia, è possibile escludere alcuni o tutti i siti dalla decrittografia. Questo è perché la decrittografia potrebbe consentire al nostro prodotto di registrare informazioni personali e di inserirli nelle voci dei log.

Se si attiva la decrittografia dei siti web HTTPS, potremmo visualizzare e registrare informazioni personali, nello specifico:

  • Vedremo l’URL completo (inclusi eventuali parametri aggiuntivi utilizzati da una richiesta GET).
  • Eseguiremo la scansione dei contenuti, che potrebbero includere informazioni personali private (PPI).
  • Se rileviamo una minaccia, potremmo inviare un campione ai SophosLabs.

Firefox e decrittografia

Firefox utilizza il proprio archivio certificati e questo ha ripercussioni sulla decrittografia dei siti web HTTPS. Inoltre, utilizza i propri server DNS, invece dei server DNS di Windows.

Per il corretto funzionamento della decifratura, occorre configurare Firefox in modo che consideri attendibile l’archivio certificati di Windows. Per farlo, procedere come segue:

  1. Immettere “about:config” nella barra degli indirizzi e premere Invio.

    Potrebbe venire visualizzata una pagina di avviso. Cliccare su Accetta il rischio e continua per aprire la pagina about:config.

  2. Impostare “security.Enterprise_Roots.Enabled” come “true”.

    Così facendo, si indica a Firefox di considerare attendibile l’archivio radice dei certificati di Windows.

Occorre inoltre configurare Firefox in modo che utilizzi i server DNS di Windows. Questo passaggio è importante per la protezione web, poiché ci consente di visualizzare le informazioni sull’indicazione nome server (SNI, Server Name Indication) di una sessione HTTPS se la decrittografia HTTPS è disattivata. Per ulteriori informazioni su questo argomento, vedere la pagina Firefox Informazioni su DNS over HTTPS.

Attivazione o disattivazione della decifratura

È possibile attivare o disattivare la decifratura HTTPS per tutti i siti web nei criteri di Protezione contro le minacce. Occorre modificare e inviare tramite push i criteri applicabili ai clienti e ai loro dispositivi.

  1. Cliccare sull’icona Impostazioni e criteriIcona Impostazioni e criteri..
  2. Sotto Impostazioni globali per i clienti, cliccare su Modelli globali.

  3. Selezionare un modello.

    Note

    Questa operazione attiva la Decrittografia SSL/TLS per tutti i clienti in questo modello.

  4. Cliccare su Criteri di base.

  5. Sotto Endpoint Protection o Server Protection, cliccare su Protezione dalle minacce.

  6. Sotto Decrittografia SSL/TLS di siti web HTTPS, attivare Decrittografa siti web HTTPS utilizzando SSL/TLS.

    Se la decrittografia è attivata nel criterio di Protezione dalle minacce di un dispositivo, verrà utilizzata anche per le verifiche del Controllo web sullo stesso dispositivo.

  7. In Criteri di base, cliccare su Effettua push ai clienti.

  8. Nella finestra di dialogo Effettua push ai clienti, cliccare su Push per confermare.

Esclusione di siti web dalla decrittografia

È possibile escludere alcuni siti web HTTPS o categorie di siti web dalla decrittografia per proteggere i dati riservati.

I siti web HTTPS che non utilizzano TLS 1.2 o versioni successive vengono automaticamente bloccati. Anche la maggior parte dei browser web (Chrome, Firefox, Edge) blocca automaticamente queste pagine.

In questo caso, viene visualizzato il messaggio: “Abbiamo bloccato l’accesso a questo URL per via del criterio. La crittografia utilizzata dal server che ospita questo URL non è sicura”.

È possibile aggiungere un’esclusione per questi siti web.

Note

Se si escludono siti web, alcune impostazioni dei criteri di Protezione dalle minacce e Web Control (scansione dei download o blocco dei tipi di file rischiosi) non verranno applicate a tali siti. Tuttavia, continueremo a eseguire le verifiche che non richiedono la decrittografia.

Per informazioni sulla rimozione di TLS 1.0 e 1.1 da Chrome, vedere Feature: TLS 1.0 and TLS 1.1 (removed).

Per escludere siti web dalla decrittografia, procedere come segue:

  1. Cliccare sull’icona Impostazioni e criteriIcona Impostazioni e criteri..
  2. Sotto Impostazioni globali per i clienti, cliccare su Modelli globali.

  3. Selezionare un modello.

    Note

    Questa opzione esclude siti web dalla decrittografia per tutti i clienti in questo modello.

  4. Cliccare su Impostazioni globali e successivamente su Decrittografia SSL/TLS di HTTPS.

  5. Verificare le Categorie escluse dalla decrittografia HTTPS.

    Per impostazione predefinita, tutte le categorie elencate sono escluse. Queste esclusioni possono essere disattivate, ma non è possibile aggiungere o rimuovere categorie.

    Per escludere siti specifici, procedere con il passaggio successivo.

  6. In Siti web esclusi dalla decrittografia HTTPS, cliccare su Aggiungi esclusione.

  7. Nella finestra di dialogo Aggiungi esclusione, inserire i seguenti dettagli:

    1. Inserire un nome di dominio, un indirizzo IP o un intervallo di indirizzi IP.
    2. (Facoltativo) Aggiungere un commento come promemoria del motivo per cui è stato escluso il sito.
    3. Cliccare su Aggiungi.

  8. Nella pagina Decrittografia SSL/TLS di HTTPS, cliccare su Salva.