L'option SSL vous permet de :
- faire de l'analyse de contenu sur des pages HTTPS (appliquer des règles sur les tailles et types de fichiers, analyse antivirus).
- appliquer, pour des pages HTTPS, des règles sur des URLs précises plutôt que sur des domaines. En effet, sans déchiffrement, les règles ne peuvent s'appliquer qu'à des domaines car seul le nom du domaine apparaît en clair dans une requête HTTPS.
Le déchiffrement HTTPS est coûteux en termes de performance. Vous pouvez paramétrer l'Olfeo pour ne pas déchiffrer certains flux.
Contraintes d'intégration
L'option ne fonctionne que pour des intégrations en mode proxy (explicite ou en interception). En effet, le déchiffrement nécessite que les flux passent par le proxy : cela exclut donc les intégrations en mode couplage et miroir de port.
Avertissement : Pour l'analyse de contenu, les flux sont fournis en clair au service ICAP : dans les architectures où l'analyse de contenu n'est pas faite par le même Olfeo que celui qui héberge le proxy, faites en sorte que ces flux soient cloisonnés/sécurisés.
Un Olfeo faisant du déchiffrement SSL ne peut pas avoir de proxy parent. En effet, l'analyse de contenu doit être faite par le proxy situé à la fin de la chaîne de proxys (performance, non mise en cache de code malicieux, protection des proxys enfants, stripping des en-têtes...).
Comportement de l'Olfeo sans l'option SSL, ou avec un flux pour lequel le déchiffrement est désactivé
Sans l'option SSL :
- Le filtrage par catégorie ou liste de domaines fonctionne, mais le filtrage sur une URL spécifique ne fonctionne pas (car seul le nom de domaine est transmis en clair dans la requête). Le blocage s'effectue sur le nom de domaine, pas sur la page exacte.
- L'antivirus ne peut pas analyser les contenus chiffrés.
- Pour que vos utilisateurs puissent recevoir des pages de
blocage et utiliser les quotas, l'outrepassement, un portail captif (avec ou sans
NTLM), un portail public ou la charte internet, vous devez
activer les pages de blocage en HTTPS. Sans cela,
l'utilisateur obtiendra une page d'erreur (ERR_DNS_FAIL).
Avec un proxy en interception, sans déchiffrement SSL, le filtrage d'URL n'est possible que si la résolution DNS inverse est activée. En effet, par défaut l'Olfeo ne voit que les adresses IP de destination des requêtes et non les noms de domaine (car il ne voit que l'établissement de la session TLS et non le contenu de la session elle-même). Cela est visible dans les statistiques et à la page du trafic temps réel, dans la colonne Domaine.