Ports du proxy |
La règle ne s'applique que si le flux est reçu sur le port spécifié ici. La liste propose tous les ports pour lesquels l’option SSL est activée (à la
page ). |
Destination |
La règle ne s'applique que si le flux est à destination d'une URL spécifiée ici.
- Si vous utilisez une regex, n'incluez pas le préfixe
https://. La regex ne doit référencer que des URI au format
FQDN:port.
- Utilisez des listes de domaines et
non des listes d'URLs. En effet, seuls les noms de domaines sont reçus en
clair dans une requête HTTPS.
|
Action |
L'action à effectuer si le flux correspond à toutes les conditions définies dans les autres colonnes.
- Client d'abord : les flux correspondant aux critères
définis dans la règle sont déchiffrés.
Lorsque le client envoie une requête
HTTPS au proxy, le proxy lui renvoie directement un certificat de
substitution, avant de contacter le serveur distant. Le certificat de substitution est généré à partir des informations fournies par le navigateur qui tente de se connecter. Dans ce cas, il peut
arriver qu'un certificat soit généré pour un site qui n'existe pas, ou que le certificat généré ne corresponde pas au site d'arrivée (par exemple en cas de redirection). Dans ce dernier cas, l'utilisateur obtiendra une page d'erreur.
- Serveur d'abord (recommandé) : les flux correspondant
aux critères définis dans la règle sont déchiffrés.
Lorsque le client envoie
une requête HTTPS au proxy, le proxy contacte directement le serveur distant.
Il ne génère un certificat de substitution que lorsqu'il transmet la réponse
du serveur distant au client. Le certificat est généré à partir des informations fournies par le serveur distant : cela permet de minimiser le risque d'erreurs au niveau des certificats générés. Cette option est obligatoire en interception.
- Pas de déchiffrement : les flux correspondant aux critères définis
dans la règle ne sont pas déchiffrés. Utilisez cette option :
- pour les flux de
nature privée tels que des sites de banques ou d'assurances.
- pour les flux autres que SSL utilisant la méthode CONNECT. En effet, lorsque le déchiffrement est activé, le proxy tente de déchiffrer toutes les requêtes utilisant la méthode CONNECT (sur laquelle s'appuie SSL/TLS). Si un flux utilise cette méthode mais n'est pas chiffré, et que le proxy tente de le déchiffrer, la connexion échouera.
- Pour autoriser la connexion à un serveur précis, ajoutez une regex correspondant à celui-ci dans la colonne Destination.
- Pour gérer toutes ces exceptions d'un coup, dirigez tous les flux concernés vers un port spécifique du proxy et ajoutez une exception concernant ce port.
Si vous ne
déchiffrez pas certains flux, n'oubliez pas d'activer les pages de blocage HTTPS.
|