SSL/TLS インスペクションの設定
SSL/TLS インスペクション設定では、デフォルト設定を指定して、セキュアなプロトコルのバージョンと発生を適用できます。
Sophos Firewall がセキュアなトラフィックをインターセプト、復号化、および検査した後に、再署名証明機関が SSL/TLS サーバー証明書に署名するように指定できます。復号化できないトラフィックを破棄または拒否する設定を指定できます。これには、SSL 圧縮やファイアウォールの復号化機能を超える接続など、安全でないプロトコルのバージョンや発生が含まれます。TLS 1.3 を使用しているときに問題が発生した場合は、TLS 1.3 から TLS 1.2 への接続をダウングレードできます。
ヒント
この設定は、すべての SSL/TLS インスペクションルールに適用されます。個々の復号化プロファイルをインスペクションルールに追加することで、一部の SSL/TLS インスペクション設定を上書きできます。
「ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「SSL/TLS インスペクションの設定」を選択します。
再署名認証局
Sophos Firewall によってインターセプトされる SSL/TLS 接続のための再署名証明機関を指定します。SSL/TLS インスペクションルールに適用されている復号化プロファイルは、このルールに対するこれらのアクションを上書きできます。
証明書の再署名は、エンドポイントデバイスによって信頼されている必要があります。表示されない場合、ブラウザに警告が表示され、接続の完了が拒否される場合があります。
ヒント
ほとんどの場合、これにはブラウザ、または エンドポイントデバイスの OS の証明書ストアに、証明書のコピーをインストールする必要があります。または、組織の既存の信頼済みエンタープライズ CA に従属する署名証明書を作成して使用することもできます。OS やブラウザによって既に信頼されている CA から署名証明書を取得することはできません。
主な証明機関は、証明書に RSA または EC (Elliptic Curve) の暗号化鍵を使用しています。ほとんどの場合、片方の種類の証明書は、もう片方の証明機関によって署名可能なため、両方に同じ CA を使用することができます。両方の証明書に対応しないアプリケーションがあった場合は、EC 鍵を追加して、EC ベースの機関によって署名された証明書に再署名できます。2つ目の CA を追加する場合は、その CA がすべてのエンドポイントデバイスによって信頼されていることを確認してください。
| 名前 | 説明 |
|---|---|
| RSA の再署名: | Web サイトの証明書が RSA を使用して署名されたときに使用されます。EC または RSA 証明書を指定できます。 |
| EC の再署名: | Web サイトの証明書が EC で署名されているときに使用します。EC または RSA 証明書を指定できます。 |
ヒント
選択した CA 証明書をダウンロードするには、ドロップダウンリストの横にある「ダウンロード」ボタン 
をクリックします。
復号化できないトラフィック
復号化しないトラフィックに対するアクション (安全でないプロトコルのバージョンや発生など) を指定します。SSL/TLS インスペクションルールに適用されている復号化プロファイルは、このルールに対するこれらのアクションを上書きできます。
| 名前 | 説明 |
|---|---|
| SSL 2.0 および SSL 3.0 | これらの接続を許可すると、セキュリティが低下します。 |
| SSL 圧縮 | 暗号化前の圧縮には既知の脆弱性があります。 |
| SSL/TLS 接続が上限を超えた場合 | トラフィック量が復号化処理能力を上回った場合、超過したトラフィックに適用されます。 復号化処理の上限を確認するには、「コントロールセンター」に移動して、「SSL/TLS 接続」ウィジェットを選択します。 |
復号化しないトラフィックのアクションを選択します。
- 復号化せずに許可
- 破棄: 送信元に通知せずに破棄します。
- 拒否: トラフィックを破棄して、送信元ホストに接続リセットメッセージを送信します。
注
SSL/TLS インスペクションルールでアクションを「復号化」に設定した場合、Sophos Firewall は、SSL 2.0 および 3.0、SSL 圧縮、および識別できない暗号化スイートを使用した接続を拒否します。
これらの接続を許可するには、復号化プロファイルで、「復号化せずに許可」を設定します。アクションが「復号化しない」に設定された SSL/TLS インスペクションルールにプロファイルを追加します。
TLS 1.3 との互換性
TLS 1.3 復号化
操作を指定します。
- 1.3 で復号化
- TLS 1.2 にダウングレードして復号化: 一部のサーバーおよびクライアントでは、 TLS 1.3 がまだ実装されていません。TLS 1.3 を使用して問題が発生した場合は、このオプションを選択してください。
警告
ダウングレード中に攻撃者が脆弱性を悪用する可能性がありますダウングレードオプションを選択すると、すべての SSL/TLS インスペクションルールに設定が適用されます。
TLS 1.3 接続に対して以下の処理を実行するには、SSL/TLS インスペクションルールの処理を「復号化」に設定する必要があります。
- SSL/TLS の一般設定で指定されている、TLS の互換性設定「TLS 1.2 にダウングレードして復号化」を適用します。
- 証明書エラーをブロックし、復号化プロファイルで指定された RSA キーの最小サイズを適用します。
- 復号化プロファイルで指定されたブロックアクション「拒否して通知」を適用します。このような復号化プロファイルを、「復号化しない」または「拒否」アクションを指定して SSL/TLS インスペクションルールに適用すると、Sophos Firewall はブロックアクション「拒否」を適用します。
詳細設定
SSL/TLS エンジン: トラブルシューティングを行う場合のみに、エンジンを無効にします。トラブルシューティングが完了したら、再度有効にします。
警告
エンジンを無効にすると、Sophos Firewall は SSL/TLS インスペクションルールを適用せず、DPI エンジンはファイアウォールルールで指定された Web ポリシーを HTTPS トラフィックに適用しません。ただし、ファイアウォールルールで Web プロキシフィルタリングが設定されている場合、Web プロキシによる HTTPS 復号化には影響しません。
その他のリソース