SSL/TLS-Inspektionseinstellungen

Mit den SSL/TLS-Inspektionseinstellungen können Sie die Standardeinstellungen festlegen, um sichere Protokollversionen und -Vorkommen zu erzwingen.

Sie können die Zertifizierungsstellen für erneute Signierungen festlegen, die SSL/TLS-Serverzertifikate signieren sollen, nachdem der sichere Datenverkehr von XG Firewall abgefangen, entschlüsselt und inspiziert wurde. Sie können Einstellungen festlegen, unentschlüsselbaren Datenverkehr verwerfen oder ablehnen. Dazu gehören unsichere Protokollversionen und -Vorkommen, wie z.B. SSL-Komprimierung und Verbindungen, die die Entschlüsselungsfähigkeiten der Firewall überschreiten. Sie können TLS 1.3 auf TLS 1.2-Verbindungen herunterstufen, wenn Sie Probleme mit TLS 1.3 haben.
Tipp Die Einstellungen gelten für alle SSL/TLS-Inspektionsregeln. Sie können einige SSL/TLS-Inspektionseinstellungen überschreiben, indem Sie individuelle Entschlüsselungsprofile zu Inspektionsregeln hinzufügen.

Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln und klicken Sie auf SSL/TLS-Inspektionseinstellungen.

Neu signierende Zertifizierungsstellen

Geben Sie die Zertifizierungsstelle für erneute Signierungen von SSL/TLS-Verbindungen an, die von XG Firewall abgefangen werden. Das mit einer SSL/TLS-Inspektionsregel verbundene Entschlüsselungsprofil kann diese Maßnahmen für die Regel überschreiben.

Der Neusignierung von Zertifikaten muss von den Endgeräten vertraut werden. Wenn das nicht der Fall ist, zeigen Browser eine Warnung an und können sich weigern, die Verbindung zu vollständig herzustellen.

Tipp In den meisten Fällen erfordert dies die Installation von Kopien der Zertifikate in den Browsern oder den Zertifikatspeichern der Betriebssysteme der Endgeräte. Alternativ können Sie Signierungszertifikate erstellen und verwenden, die einer vorhandenen vertrauenswürdigen Unternehmenszertifizierungsstelle für Ihr Unternehmen untergeordnet sind. Es ist nicht möglich, Signierungszertifikate von CAs zu erhalten, denen bereits von Betriebssystemen oder Browsern vertraut wird.
Die meisten Zertifizierungsstellen verwenden Zertifikate mit RSA- oder Elliptic Curve (EC)-Verschlüsselungsschlüsseln. In den meisten Fällen können Zertifikate eines Typs von Zertifizierungsstellen des anderen Typs signiert werden, sodass Sie dieselbe Zertifizierungsstelle für beide verwenden kann. Wenn Sie Probleme mit Anwendungen haben, die nur Zertifikate eines Typs erwarten, können Sie einen EC-Schlüssel hinzufügen und ihn für die Neusignierung von Zertifikaten verwenden, die ursprünglich von einer EC-basierten Stelle signiert wurden. Wenn Sie eine zweite Zertifizierungsstelle hinzufügen, stellen Sie sicher, dass sie von allen Endgeräten als vertrauenswürdig eingestuft wird.

Name

Beschreibung

RSA neu signieren mit

Wird verwendet, wenn das Zertifikat der Website mit RSA signiert wurde. Sie können ein EC- oder RSA-Zertifikat angeben.

EC neu signieren mit

Wird verwendet, wenn das Zertifikat der Website mit EC signiert wurde. Sie können ein EC- oder RSA-Zertifikat angeben.

Unentschlüsselbarer Verkehr

Geben Sie die Maßnahme für Datenverkehr an, der nicht entschlüsselt wird, z.B. unsichere Protokollversionen und -Vorkommen. Das mit einer SSL/TLS-Inspektionsregel verbundene Entschlüsselungsprofil kann diese Maßnahmen für die Regel überschreiben.

Name

Beschreibung

SSL 2.0 und SSL 3.0

Das Zulassen dieser Verbindungen verringert die Sicherheit.

SSL-Komprimierung

Die Komprimierung vor der Verschlüsselung weist bekannte Schwachstellen auf.

Wenn SSL/TLS-Verbindungen das Limit überschreiten

Gilt für zusätzlichen Verkehr, wenn die Menge die Entschlüsselungsmöglichkeiten der Firewall übersteigt.

Um das Entschlüsselungslimit anzuzeigen, gehen Sie zu Kontrollzentrum, und wählen Sie das Widget SSL/TLS-Verbindungen aus.

Wählen Sie die Maßnahme für Datenverkehr aus, der nicht entschlüsselt wird:

  • Zulassen ohne Entschlüsselung
  • Verwerfen: Wird ohne Benachrichtigung der Quelle verworfen.
  • Ablehnen: Verwirft und sendet eine Verbindungsrücksetzungsmeldung an den Quellhost.
Anmerkung XG Firewall lehnt Verbindungen mit SSL 2.0 und 3.0, SSL-Komprimierung und Nicht erkannte Verschlüsselungssammlungen ab, wenn Sie die Maßnahme in den SSL/TLS-Inspektionsregeln auf Entschlüsseln setzen.

Um diese Verbindungen zuzulassen, erstellen Sie ein Entschlüsselungsprofil, das auf Zulassen ohne Entschlüsselung gesetzt ist. Fügen Sie das Profil zu einer SSL/TLS-Inspektionsregel hinzu, wobei die Maßnahme auf Nicht entschlüsseln gesetzt sein muss.

TLS-1.3-Kompatibilität

TLS-1.3-Entschlüsselung

Wählen Sie die Maßnahme aus.

  • Als 1.3 entschlüsseln
  • Auf TLS 1.2 zurückstufen und entschlüsseln: Einige Server und Clients haben TLS 1.3 noch nicht implementiert. Wählen Sie diese Option, wenn Sie Probleme beim Einsatz von TLS 1.3 feststellen.
ACHTUNG Angreifer können Schwachstellen während der Herabstufung ausnutzen. Wenn Sie die Option Herabstufen auswählen, wird die Einstellung auf alle SSL/TLS-Inspektionsregeln angewendet.
Für TLS 1.3-Verbindungen müssen Sie die Aktion in SSL/TLS-Inspektionsregeln auf Entschlüsseln setzen, um Folgendes zu tun:
  • Wenden Sie die in den allgemeinen SSL/TLS-Einstellungen angegebene TLS-Kompatibilitätseinstellung Auf TLS 1.2 zurückstufen und entschlüsseln an.
  • Blockieren Sie Zertifikatfehler, und wenden Sie die in den Entschlüsselungsprofilen angegebene Mindestgröße für RSA-Schlüssel an.
  • Wenden Sie die im Entschlüsselungsprofil angegebene Sperrmaßnahme Ablehnen und benachrichtigen an. Wenn Sie ein solches Entschlüsselungsprofil auf SSL/TLS-Inspektionsregeln mit der Maßnahme Nicht entschlüsseln oder Ablehnen anwenden, wendet XG Firewall die Sperrmaßnahme Ablehnen an.

Erweiterte Einstellungen

SSL/TLS-Modul: Deaktivieren Sie das Modul nur, wenn Sie eine Fehlerbehebung durchführen wollen. Nachdem Sie die Fehlerbehebung abgeschlossen haben, aktivieren Sie sie erneut.

Warnung Wenn Sie das Modul deaktivieren, wird XG Firewall keine SSL/TLS-Inspektionsregeln anwenden, und das DPI-Modul wendet die in den Firewallregeln angegebene Internetrichtlinie nicht auf HTTPS-Datenverkehr an. Dies wirkt sich jedoch nicht auf die HTTPS-Entschlüsselung durch den Web-Proxy aus, wenn Web-Proxy-Filterung in Firewallregeln konfiguriert ist.