SSL/TLS インスペクションの設定

SSL/TLS インスペクションのデフォルト設定を指定して、安全なプロトコルバージョンなどを強制することができます。

XG Firewall がセキュアなトラフィックをインターセプト、復号化、検査した後、SSL/TLS サーバー証明書に署名する再署名認証局を指定できます。 復号化できないトラフィック (安全でないプロトコルバージョンや、SSL 圧縮、ファイアウォールの復号化能力を超える接続など) は、破棄または拒否するように設定できます。TLS 1.3 の使用中に問題が発生した場合は、TLS 1.3 から TLS 1.2 に接続をダウングレードできます。
ヒント この設定は、すべての SSL/TLS インスペクションルールに適用されます。インスペクションルールに復号化プロファイルを追加することで、SSL/TLS インスペクションの設定の一部を上書きすることが可能です。

ルールとポリシー > SSL/TLS インスペクションルールにアクセスして、SSL/TLS インスペクションの設定を選択します。

再署名認証局

XG Firewall がインターセプトした SSL/TLS 接続の再署名認証局を指定します。 SSL/TLS インスペクションルールに指定した復号化プロファイルの設定は、このルールに指定したアクションよりも優先されます。

再署名証明書は、エンドポイントデバイスによって信頼されている必要があります。信頼されていない場合、ブラウザに警告が表示され、接続を拒否される可能性があります。

ヒント 通常、エンドポイントデバイスのブラウザまたは OS の証明書ストアに、証明書のコピーをインストールする必要があります。または、組織用の既存の信頼されているエンタープライズ CA に属する署名証明書を作成して使用することもできます。OS またはブラウザによって既に信頼されている CA から署名証明書を取得することはできません。
ほとんどの認証局は、RSA または楕円曲線 (EC) の暗号化鍵の証明書を使用します。通常、一方の証明書にもう一方の認証局が署名できるので、両方に対して同じ CA を使用できます。どちらか一方の証明書のみを要求するアプリケーションで問題が発生した場合は、EC 鍵を追加して、EC ベースの認証局が最初に署名した証明書に再署名します。2つ目の CA を追加する場合は、すべてのエンドポイントデバイスから信頼されるようにしてください。

名前

説明

RSA の再署名:

Web サイトの証明書が RSA で署名されているときに使用します。 EC または RSA の証明書を指定できます。

EC の再署名:

Web サイトの証明書が EC で署名されているときに使用します。 EC または RSA の証明書を指定できます。

復号化できないトラフィック

復号化できないトラフィック (安全でないプロトコルバージョンなど)へのアクションを指定します。 SSL/TLS インスペクションルールに指定した復号化プロファイルの設定は、このルールに指定したアクションよりも優先されます。

名前

説明

SSL 2.0 および SSL 3.0

これらの接続を許可すると、セキュリティが低下します。

SSL 圧縮

暗号化前に圧縮されている場合、既知の脆弱性があります。

SSL/TLS 接続が上限を超えた場合

トラフィック量がファイアウォールの復号化処理能力を上回った場合、超過したトラフィックに適用されます。

復号化の上限を確認するには、コントロールセンターにアクセスして、SSL/TLS 接続ウィジェットを選択してください。

復号化できないトラフィックへのアクションを選択します。

  • 復号化せずに許可
  • 破棄: 送信元に通知せずに破棄します。
  • 拒否: トラフィックを破棄して、送信元ホストに接続リセットメッセージを送信します。
SSL/TLS インスペクションルールでアクションを復号化に設定した場合、SSL 2.0 および 3.0、SSL 圧縮識別できない暗号スイートを含む接続は拒否されます。

これらの接続を許可するには、復号化プロファイルを作成して復号化せずに許可に設定します。このプロファイルを、アクションを復号化しないに設定した SSL/TLS インスペクションルールに追加してください。

TLS 1.3 との互換性

TLS 1.3 復号化

操作を指定します。

  • 1.3 で復号化
  • TLS 1.2 にダウングレードして復号化: サーバーやクライアントによっては、TLS 1.3 にまだ対応していない場合があります。TLS 1.3 の使用中に問題が発生した場合は、このオプションを選択してください。
注意 ダウングレードすると、攻撃者によって脆弱性を悪用される可能性があります。ダウングレードオプションを選択すると、すべての SSL/TLS インスペクションルールにこの設定が適用されます。
TLS 1.3 接続の場合、次の操作を行うには、SSL/TLS インスペクションルールでアクションを復号化に設定する必要があります。
  • SSL/TLS の全般設定で指定した、TLS の互換性設定TLS 1.2 にダウングレードして復号化を適用する。
  • 証明書エラーをブロックし、復号化プロファイルで指定した RSA 鍵の最小サイズを適用する。
  • 復号化プロファイルで指定したブロックアクション拒否して通知を適用する。このような復号化プロファイルを、アクションを復号化しないまたは拒否に設定した SSL/TLS インスペクションルールに適用した場合、ブロックアクション拒否が適用されます。

詳細設定

SSL/TLS エンジン: トラブルシューティングを行うときにのみ、このエンジンを無効にしてください。トラブルシューティングが終わったら、再び有効にしてください。

警告 このエンジンを無効にすると、SSL/TLS インスペクションルールは適用されません。また、DPI エンジンは、ファイアウォールルールで指定された Web ポリシーを HTTPS トラフィックに適用しなくなります。ただし、ファイアウォールルールに Web プロキシフィルタリングが設定されている場合、Web プロキシによる HTTPS 復号化は影響を受けません。