コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=profiles-decryption-add

復号化のプロファイルを追加

復号化プロファイルを使用すると、 SSL/TLS 接続に復号化設定を適用できます。

警告

Android デバイスは SSL/TLS 証明書エラーを生成することがわかっているため、復号化に失敗します。すべての Android デバイスに対して SSL/TLS 除外リストを作成することをお勧めします。

  1. プロファイル > 復号化のプロファイル」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 説明を追加します。

  4. Sophos Firewall によってインターセプトされる SSL/TLS 接続のための再署名証明機関を指定します。

    証明書の再署名は、エンドポイントデバイスによって信頼されている必要があります。表示されない場合、ブラウザに警告が表示され、接続の完了が拒否される場合があります。

    ヒント

    ほとんどの場合、これには、エンドポイントデバイスのブラウザまたはオペレーティングシステム証明書ストアに証明書のコピーをインストールする必要があります。または、組織の既存の信頼済みエンタープライズ CA に従属する署名証明書を作成して使用することもできます。オペレーティングシステムまたはブラウザによって既に信頼されている CA から署名証明書を取得することはできません。

    主な証明機関は、証明書に RSA または EC (Elliptic Curve) の暗号化鍵を使用しています。ほとんどの場合、片方の種類の証明書は、もう片方の証明機関によって署名可能なため、両方に同じ CA を使用することができます。両方の証明書に対応しないアプリケーションがあった場合は、EC 鍵を追加して、EC ベースの機関によって署名された証明書に再署名できます。2つ目の CA を追加する場合は、その CA がすべてのエンドポイントデバイスによって信頼されていることを確認してください。

    名前 説明
    SSL/TLS 設定で定義済みの CA を使用する SSL/TLS インスペクションの設定で指定された証明機関を使用します。
    RSA の再署名: Web サイトの証明書が RSA を使用して署名されたときに使用されます。

    EC または RSA 証明書を指定できます。
    EC の再署名: Web サイトの証明書が EC で署名されているときに使用します。

    EC または RSA 証明書を指定できます。

    ヒント

    選択した CA 証明書をダウンロードするには、ドロップダウンリストの横にある「ダウンロード」ボタン ダウンロードボタン。 をクリックします。

  5. 非暗号化プロトコルバージョン、発生、暗号スイートなど、復号化できないトラフィックに対するアクションを指定します。

    名前 説明
    SSL 2.0 および SSL 3.0 これらの接続を許可すると、セキュリティが低下します。
    SSL 圧縮 暗号化前の圧縮には既知の脆弱性があります。
    SSL/TLS 接続が上限を超えた場合 トラフィック量が復号化処理能力を上回った場合、超過したトラフィックに適用されます。

    復号化処理の上限を確認するには、「コントロールセンター」に移動して、「SSL/TLS 接続」ウィジェットを選択します。
    識別できない暗号スイート ファイアウォールは、認識されない暗号スイートを使用してトラフィックを復号化できません。認識できない暗号スイートを使用すると、セキュリティが低下します

    復号化できないトラフィックに対するアクション:

    • SSL/TLS 設定を使用する (デフォルト): SSL/TLS インスペクションの設定で指定されたアクションを適用します。このオプションは、認識されない暗号スイートには適用されません。
    • 復号化せずに許可
    • ドロップ: 送信元に通知せずに破棄します。
    • 拒否: トラフィックを破棄して、送信元ホストに接続リセットメッセージを送信します。

    SSL/TLS インスペクションルールでアクションを「復号化」に設定した場合、Sophos Firewall は、SSL 2.0 および 3.0、SSL 圧縮、および識別できない暗号化スイートを使用した接続を拒否します。

    これらの接続を許可するには、復号化プロファイルで、「復号化せずに許可」を設定します。アクションが「復号化しない」に設定された SSL/TLS インスペクションルールにプロファイルを追加します。

  6. 証明書、プロトコル、および暗号化強制の詳細を指定します。

    名前 説明
    ブロックする証明書エラー 証明書エラーを選択します。
    指定エラーのある接続をブロックします。
    • 無効な日付 - 自己署名
    • 信頼されていないユーザー - 失効: これを使用するには、証明書失効リスト (CRL) をインポートする必要があります。
    • 名前の不一致: Client Hello で要求されたサーバー名が、証明書のドメイン名と一致するかどうかをチェックします。
    • その他の理由で無効

    Web > 例外」で HTTPS 復号化の例外を作成した場合、その例外条件に一致するトラフィックは、証明書が無効であっても許可されます。
    RSA 鍵の最小サイズ キーの最小長を選択します。

    2048 ビット未満のキーは、もはやセキュアとは見なされません。アップグレードできない古いサーバーとの互換性を確保する必要がある場合にのみ、これらのサーバーを許可します。
    SSL/TLS の最小バージョン 許可するプロトコルの最小バージョンを選択します。

    TLS 1.2 より前のバージョンは、セキュリティ保護されているとは見なされなくなりました。互換性を確保する必要がある場合にのみ許可します。
    SSL/TLS の最大バージョン 適用する最大プロトコルバージョンを選択します。

    使用可能な最新バージョンを実装するには、「サポート対象の最大値」を選択します。新しいプロトコルバージョンが使用可能になると、Sophos Firewall はそのバージョンを自動的に実装します。
    ブロックする暗号アルゴリズム ブロックするキー交換、認証メカニズム、バルク暗号、およびハッシュアルゴリズムを選択します。
    ブロックアクション

    適用するアクションを選択します。

    • 破棄: 送信元に通知せずに破棄します。
    • 拒否: トラフィックを破棄して、送信元ホストに接続リセットメッセージを送信します。
    • 拒否して通知: 接続を確立しますが、サーバーとのデータ転送は行われません。HTTPS 接続の場合、は、エラーの理由を示すブロックページをユーザーに表示しようとします。

    TLS 1.3 接続に対して以下の処理を実行するには、SSL/TLS インスペクションルールの処理を「復号化」に設定する必要があります。

    • 証明書エラーをブロックし、復号化プロファイルで指定された RSA キーの最小サイズを適用します。
    • 復号化プロファイルで指定されたブロックアクション「拒否して通知」を適用します。このような復号化プロファイルを、「復号化しない」または「拒否」アクションを指定して SSL/TLS インスペクションルールに適用すると、Sophos Firewall はブロックアクション「拒否」を適用します。

  7. 保存」をクリックします。

ルールとポリシー > SSL/TLS インスペクションルール」に移動し、復号化プロファイルをルールに追加して、アクションを指定します。

その他のリソース