Gérer le déchiffrement et les erreurs

Page Proxy Cache QoS > HTTP > Règles de déchiffrement SSL.

Règles de déchiffrement

Dans cette section, définissez quels flux ne doivent pas être déchiffrés, et, pour les flux déchiffrés, la méthode à utiliser.

Colonne	Description
Ports du proxy	La règle ne s'applique que si le flux est reçu sur le port spécifié ici. La liste propose tous les ports pour lesquels l’option SSL est activée (à la page Proxy Cache QoS > HTTP > Configuration).
Destination	La règle ne s'applique que si le flux est à destination d'une URL spécifiée ici. Si vous utilisez une regex, n'incluez pas le préfixe `https://`. La regex ne doit référencer que des URI au format `FQDN:port`. Utilisez des listes de domaines et non des listes d'URLs. En effet, seuls les noms de domaines sont reçus en clair dans une requête HTTPS.
Action	L'action à effectuer si le flux correspond à toutes les conditions définies dans les autres colonnes. Client d'abord : les flux correspondant aux critères définis dans la règle sont déchiffrés. Lorsque le client envoie une requête HTTPS au proxy, le proxy lui renvoie directement un certificat de substitution, avant de contacter le serveur distant. Le certificat de substitution est généré à partir des informations fournies par le navigateur qui tente de se connecter. Dans ce cas, il peut arriver qu'un certificat soit généré pour un site qui n'existe pas, ou que le certificat généré ne corresponde pas au site d'arrivée (par exemple en cas de redirection). Dans ce dernier cas, l'utilisateur obtiendra une page d'erreur. Serveur d'abord (recommandé) : les flux correspondant aux critères définis dans la règle sont déchiffrés. Lorsque le client envoie une requête HTTPS au proxy, le proxy contacte directement le serveur distant. Il ne génère un certificat de substitution que lorsqu'il transmet la réponse du serveur distant au client. Le certificat est généré à partir des informations fournies par le serveur distant : cela permet de minimiser le risque d'erreurs au niveau des certificats générés. Cette option est obligatoire en interception. Pas de déchiffrement : les flux correspondant aux critères définis dans la règle ne sont pas déchiffrés. Utilisez cette option : pour les flux de nature privée tels que des sites de banques ou d'assurances. pour les flux autres que SSL utilisant la méthode CONNECT. En effet, lorsque le déchiffrement est activé, le proxy tente de déchiffrer toutes les requêtes utilisant la méthode CONNECT (sur laquelle s'appuie SSL/TLS). Si un flux utilise cette méthode mais n'est pas chiffré, et que le proxy tente de le déchiffrer, la connexion échouera. Pour autoriser la connexion à un serveur précis, ajoutez une regex correspondant à celui-ci dans la colonne Destination. Pour gérer toutes ces exceptions d'un coup, dirigez tous les flux concernés vers un port spécifique du proxy et ajoutez une exception concernant ce port. Si vous ne déchiffrez pas certains flux, n'oubliez pas d'activer les pages de blocage HTTPS.

Règles de gestion des erreurs SSL

Dans cette section, créez des règles pour dire à l'Olfeo que faire si par exemple le serveur distant lui envoie un certificat expiré, ou s'il détecte des problèmes dans la chaîne de certificats.

Ajoutez une règle. Dans la colonne Cas d'erreur, sélectionnez les erreurs désirées. Dans la colonne Action, cliquez sur l'icône pour sélectionner Bloquer ou Autoriser :
- Bloquer : l'utilisateur recevra une page de blocage générée par le proxy
- Autoriser : la page sera déchiffrée malgré l'erreur SSL et sera envoyée à l'utilisateur.
Dans la liste Pour le reste, définissez l'action à effectuer pour toutes les erreurs SSL non concernées par les règles que vous avez créées.

Pour plus d'informations sur les erreurs dans la liste, voir https://www.openssl.org/docs/manmaster/man1/verify.html#DIAGNOSTICS (en anglais).