復号化プロファイルの追加

復号化プロファイルを使用すると、SSL/TLS 接続に復号化設定を強制的に適用できます。

警告 Android デバイスは SSL/TLS 証明書エラーを生成することで知られており、復号化に失敗することがあります。すべての Android デバイスに対して、SSL/TLS 除外リストを作成することをお勧めします。
  1. プロファイル > 復号化のプロファイルに移動して、追加をクリックします。
  2. 名前を入力します。
  3. オプション 説明を追加します。
  4. XG Firewall がインターセプトした SSL/TLS 接続の再署名認証局を指定します。

    再署名証明書は、エンドポイントデバイスによって信頼されている必要があります。信頼されていない場合、ブラウザに警告が表示され、接続を拒否される可能性があります。

    ヒント 通常、エンドポイントデバイスのブラウザまたは OS の証明書ストアに、証明書のコピーをインストールする必要があります。または、組織用の既存の信頼されているエンタープライズ CA に属する署名証明書を作成して使用することもできます。OS またはブラウザによって既に信頼されている CA から署名証明書を取得することはできません。
    ほとんどの認証局は、RSA または楕円曲線 (EC) の暗号化鍵の証明書を使用します。通常、一方の証明書にもう一方の認証局が署名できるので、両方に対して同じ CA を使用できます。どちらか一方の証明書のみを要求するアプリケーションで問題が発生した場合は、EC 鍵を追加して、EC ベースの認証局が最初に署名した証明書に再署名します。2つ目の CA を追加する場合は、すべてのエンドポイントデバイスから信頼されるようにしてください。
    名前説明

    SSL/TLS 設定で定義済みの CA を使用する

    SSL/TLS インスペクションの設定で指定した認証局を使用します。

    RSA の再署名:

    Web サイトの証明書が RSA で署名されているときに使用します。

    EC または RSA の証明書を指定できます。

    EC の再署名:

    Web サイトの証明書が EC で署名されているときに使用します。

    EC または RSA の証明書を指定できます。

  5. 復号化できないトラフィック (安全でないプロトコルバージョンや暗号スイートなど) へのアクションを指定します。
    名前説明

    SSL 2.0 および SSL 3.0

    これらの接続を許可すると、セキュリティが低下します。

    SSL 圧縮

    暗号化前に圧縮されている場合、既知の脆弱性があります。

    SSL/TLS 接続が上限を超えた場合

    トラフィック量がファイアウォールの復号化処理能力を上回った場合、超過したトラフィックに適用されます。

    復号化の上限を確認するには、コントロールセンターにアクセスして、SSL/TLS 接続ウィジェットを選択してください。

    識別できない暗号スイート

    識別できない暗号スイートを使用しており、復号化できないトラフィック。識別できない暗号スイートを使用すると、セキュリティが低下します。

    復号化できないトラフィックへのアクション:

    • SSL/TLS 設定を使用する (デフォルト): SSL/TLS インスペクションの設定で指定したアクションを適用します。このオプションは、識別できない暗号スイートには適用されません。
    • 復号化せずに許可
    • 破棄: 送信元に通知せずに破棄します。
    • 拒否: トラフィックを破棄して、送信元ホストに接続リセットメッセージを送信します。
    SSL/TLS インスペクションルールでアクションを復号化に設定した場合、SSL 2.0 および 3.0、SSL 圧縮識別できない暗号スイートを含む接続は拒否されます。

    これらの接続を許可するには、復号化プロファイルを作成して復号化せずに許可に設定します。このプロファイルを、アクションを復号化しないに設定した SSL/TLS インスペクションルールに追加してください。

  6. 証明書、プロトコル、および暗号化の詳細を指定します。
    名前説明

    ブロックする証明書エラー

    証明書エラーを選択します。指定されたエラーのある接続がブロックされます。

    • 日付が無効です
    • 自己署名
    • 信頼されていないユーザー
    • 失効しました
    • 名前が一致しません: Client Hello で要求されたサーバー名が、証明書のドメイン名と一致するかどうかを確認します。
    • その他の理由で無効です

    Web > 例外で HTTPS 復号化の例外を作成した場合、その条件に一致したトラフィックは証明書が無効であっても許可されます。

    RSA 鍵の最小サイズ

    鍵の最小長を選択します。

    2048ビット未満の鍵は、安全とはいえません。アップグレードできない古いサーバーとの互換性を確保する必要がある場合にのみ、許可するようにしてください。

    SSL/TLS の最小バージョン

    許可するプロトコルの最小バージョンを選択します。

    TLS 1.2 より古いバージョンは、安全とはいえません。互換性を確保する必要がある場合にのみ、許可するようにしてください。

    SSL/TLS の最大バージョン

    プロトコルの最大バージョンを選択します。

    使用可能な最新バージョンを実装するには、サポート対象の最大値を選択してください。新しいプロトコルバージョンが使用可能になると、そのバージョンが自動的に実装されます。

    ブロックする暗号アルゴリズム

    ブロックする鍵交換、認証メカニズム、一括暗号化、ハッシュアルゴリズムを選択します。

    ブロックアクション

    適用するアクションを選択します。

    • 破棄: 送信元に通知せずに破棄します。
    • 拒否: トラフィックを破棄して、送信元ホストに接続リセットメッセージを送信します。
    • 拒否して通知: 接続を確立しますが、サーバーとのデータ転送は行われません。HTTPS 接続の場合は、ブロックの理由を示すページをユーザーに表示しようと試みます。
    TLS 1.3 接続の場合、次の操作を行うには、SSL/TLS インスペクションルールでアクションを復号化に設定する必要があります。
    • 証明書エラーをブロックし、復号化プロファイルで指定した RSA 鍵の最小サイズを適用する。
    • 復号化プロファイルで指定したブロックアクション拒否して通知を適用する。このような復号化プロファイルを、アクションを復号化しないまたは拒否に設定した SSL/TLS インスペクションルールに適用した場合、ブロックアクション拒否が適用されます。
  7. 保存」をクリックします。
ルールとポリシー > SSL/TLS インスペクションルールにアクセスし、復号化プロファイルをルールに追加します。