Pular para o conteúdo

Decodificação de SSL/TLS de sites HTTPS

Você pode controlar se decodificamos ou não sites para verificá-los para seus clientes. Se você optar por isso, seus clientes não poderão fazer alterações.

Nota

Se seus clientes estiverem participando do EAP "New Endpoint Protection Features", eles poderão ativar ou desativar a descriptografia em sites HTTPS. Eles podem fazer alterações nas configurações que você escolher aqui somente nos computadores. Eles não podem fazer alterações nos servidores.

Restrição

Este recurso está disponível apenas para servidores e computadores Windows.

Os sites seguros (HTTPS) são criptografados, de modo que só podemos verificar o conteúdo se você nos permitir decodificá-los.

No entanto, talvez você queira excluir alguns ou todos os sites da decodificação. Isso porque a decodificação pode permitir que nosso produto registre informações pessoais e as exiba nas entradas de log.

Se você ativar a descriptografia de sites HTTPS, poderemos ver e registrar informações pessoais da seguinte forma:

  • Vemos a URL completa (incluindo parâmetros adicionais usados por uma solicitação GET).
  • Fazemos a varredura do conteúdo, que pode incluir informações pessoais privadas (PPI).
  • Se detectarmos uma ameaça, poderemos enviar uma amostra para o SophosLabs.

Firefox e descriptografia

O Firefox usa a sua própria loja de certificados e isso afeta a descriptografia de sites HTTPS. Ele também usa seus próprios servidores DNS em vez de usar os servidores DNS do Windows.

Para que nossa descriptografia funcione corretamente, você precisa informar o Firefox para confiar na loja de certificados do Windows. Para isso, siga este procedimento:

  1. Digite 'about:config' na barra de endereços e pressione Enter.

    Uma página de aviso pode ser exibida. Clique em Accept the Risk and Continue para ir para a página about:config.

  2. Defina 'security.enterprise_roots.enabled' como True.

    Isso instrui o Firefox a confiar na loja de certificados raiz do Windows.

Você também precisa informar o Firefox para usar os seus servidores DNS do Windows. Isso é importante para a proteção da Web, pois nos permite ver as informações de indicação do nome do servidor (SNI) de uma sessão HTTPS se a descriptografia HTTPS estiver desativada. Para obter ajuda sobre isso, consulte Firefox DNS-over-HTTPS.

Ativar ou desativar a decodificação

Você pode ativar ou desativar a decodificação (descriptografia) HTTPS para todos os sites nas suas políticas de Proteção contra Ameaças. Você precisa alterar e enviar as políticas que se aplicam aos clientes e seus dispositivos.

  1. Vá para Configurações e Políticas > Modelos globais.
  2. Selecione o modelo que deseja alterar ou clone um modelo para criar um novo.
  3. Verifique se os clientes que você deseja estão associados ao modelo.
  4. Clique em Políticas de base.
  5. Vá para Endpoint: Proteção contra ameaças ou Servidor: Proteção contra ameaças.
  6. Edite a configuração de Decodificação de SSL/TLS de sites HTTPS.

    Se a decodificação estiver ativada na política de Proteção contra Ameaças que se aplica a um dispositivo, ela também estará ativada para verificações da política de Controle da Web nesse dispositivo.

  7. Envie o modelo.

Excluir sites da decodificação

Você pode excluir alguns sites HTTPS ou categorias de sites da decodificação para proteger dados confidenciais.

Bloqueamos automaticamente sites HTTPS que não usam TLS 1.2 ou posterior. A maioria dos navegadores da Web (Chrome, Firefox, Edge) também bloqueia automaticamente essas páginas.

Se isso acontecer, você receberá uma mensagem informando "Bloqueamos o acesso a esta URL devido à sua política. A criptografia utilizada pelo servidor que hospeda esta URL não é segura.

Você pode adicionar uma exclusão a estes sites da web.

Nota

Se você excluir sites da Web, algumas configurações nas políticas de Proteção contra ameaças e Controle da Web (varredura de downloads ou bloqueio de tipos de arquivos arriscados) não se aplicarão a eles. Contudo, realizaremos verificações que não precisam de decodificação.

Para obter informações sobre o Chrome ter removido o TLS 1.0 e 1.1, consulte Feature: TLS 1.0 and TLS 1.1 (removed).

Para excluir sites da decodificação, faça o seguinte:

  1. Vá para Configurações e Políticas > Modelos globais.
  2. Selecione o modelo que deseja alterar ou clone um modelo para criar um novo.
  3. Clique em Decodificação de SSL/TLS de sites HTTPS.
  4. Verifique as Categorias excluídas da decodificação de HTTPS.

    Todas as categorias listadas são excluídas por padrão. Você pode desativar essas exclusões, mas não pode adicionar ou remover categorias.

    Para excluir sites específicos, vá para a próxima etapa.

  5. Em Sites excluídos da decodificação de HTTPS, clique em Adicionar exclusão.

  6. Na caixa de diálogo Adicionar exclusão, insira os detalhes do site.

    1. Insira um nome de domínio, um endereço de IP ou um intervalo de endereços de IP.
    2. Opcional: Adicione um comentário para relembrá-lo do motivo pelo qual você excluiu o site.
    3. Clique em Adicionar.