Gérer le déchiffrement et les erreurs

Page Proxy Cache QoS > HTTP > Règles de déchiffrement SSL.

Règles de déchiffrement

Dans cette section, définissez quels flux ne doivent pas être déchiffrés, et, pour les flux déchiffrés, la méthode à utiliser.
Colonne Description
Ports du proxy La règle ne s'applique que si le flux est reçu sur le port spécifié ici. La liste propose tous les ports pour lesquels l’option SSL est activée (à la page Proxy Cache QoS > HTTP > Configuration).
Destination La règle ne s'applique que si le flux est à destination d'une URL spécifiée ici.
  • Si vous utilisez une regex, n'incluez pas le préfixe https://. La regex ne doit référencer que des URI au format FQDN:port.
  • Utilisez des listes de domaines et non des listes d'URLs. En effet, seuls les noms de domaines sont reçus en clair dans une requête HTTPS.
Action L'action à effectuer si le flux correspond à toutes les conditions définies dans les autres colonnes.
  • Client d'abord : les flux correspondant aux critères définis dans la règle sont déchiffrés.

    Lorsque le client envoie une requête HTTPS au proxy, le proxy lui renvoie directement un certificat de substitution, avant de contacter le serveur distant. Le certificat de substitution est généré à partir des informations fournies par le navigateur qui tente de se connecter. Dans ce cas, il peut arriver qu'un certificat soit généré pour un site qui n'existe pas, ou que le certificat généré ne corresponde pas au site d'arrivée (par exemple en cas de redirection). Dans ce dernier cas, l'utilisateur obtiendra une page d'erreur.

  • Serveur d'abord (recommandé) : les flux correspondant aux critères définis dans la règle sont déchiffrés.

    Lorsque le client envoie une requête HTTPS au proxy, le proxy contacte directement le serveur distant. Il ne génère un certificat de substitution que lorsqu'il transmet la réponse du serveur distant au client. Le certificat est généré à partir des informations fournies par le serveur distant : cela permet de minimiser le risque d'erreurs au niveau des certificats générés. Cette option est obligatoire en interception.

  • Pas de déchiffrement : les flux correspondant aux critères définis dans la règle ne sont pas déchiffrés. Utilisez cette option :
    • pour les flux de nature privée tels que des sites de banques ou d'assurances.
    • pour les flux autres que SSL utilisant la méthode CONNECT. En effet, lorsque le déchiffrement est activé, le proxy tente de déchiffrer toutes les requêtes utilisant la méthode CONNECT (sur laquelle s'appuie SSL/TLS). Si un flux utilise cette méthode mais n'est pas chiffré, et que le proxy tente de le déchiffrer, la connexion échouera.
      • Pour autoriser la connexion à un serveur précis, ajoutez une regex correspondant à celui-ci dans la colonne Destination.
      • Pour gérer toutes ces exceptions d'un coup, dirigez tous les flux concernés vers un port spécifique du proxy et ajoutez une exception concernant ce port.

    Si vous ne déchiffrez pas certains flux, n'oubliez pas d'activer les pages de blocage HTTPS.

Règles de gestion des erreurs SSL

Dans cette section, créez des règles pour dire à l'Olfeo que faire si par exemple le serveur distant lui envoie un certificat expiré, ou s'il détecte des problèmes dans la chaîne de certificats.

Pour plus d'informations sur les erreurs dans la liste, voir https://www.openssl.org/docs/manmaster/man1/verify.html#DIAGNOSTICS (en anglais).