Gérer le déchiffrement et les erreurs

Page Proxy avancé > HTTP > Règles de déchiffrement SSL.

Règles de déchiffrement

Dans cette section, définissez quels flux ne doivent pas être déchiffrés, et, pour les flux déchiffrés, la méthode à utiliser.

Colonne	Description
Ports du proxy	La règle ne s'applique que si le flux est reçu sur le port spécifié ici. La liste propose tous les ports pour lesquels l’option SSL est activée (à la page Proxy avancé > HTTP > Configuration).
Destination	La règle ne s'applique que si le flux est à destination d'une URL spécifiée ici. Si vous utilisez une regex, n'incluez pas le préfixe `https://`. La regex ne doit référencer que des URI au format `FQDN:port`. Utilisez des listes de domaines et non des listes d'URLs. En effet, seuls les noms de domaines sont reçus en clair dans une requête HTTPS.
Action	L'action à effectuer si le flux correspond à toutes les conditions définies dans les autres colonnes. Déchiffrement : les flux correspondants aux critères définis dans la règle sont déchiffrés. Lorsque le client envoie une requête HTTPS au proxy, la requête CONNECT est traitée pour créer le tunnel SSL. Ensuite le client envoie un client Hello, et dans ce cas-là le serveur est directement contacté avec un « clientHello » généré par SQUID, permettant de mettre un terme au handshake TLS côté serveur. Le client reçoit alors la réponse «ServerHello» avec le certificat utilisé lors de l’activation de l’option SSL, cela permet de déchiffrer les requêtes HTTP à suivre. Pas de déchiffrement : les flux correspondants aux critères définis dans la règle ne sont pas déchiffrés. Utilisez cette option : pour les flux de nature privée tels que des sites de banques ou d'assurances. pour les flux autres que SSL utilisant la méthode CONNECT. En effet, lorsque le déchiffrement est activé, le proxy tente de déchiffrer toutes les requêtes utilisant la méthode CONNECT (sur laquelle s'appuie SSL/TLS). Si un flux utilise cette méthode mais n'est pas chiffré, et que le proxy tente de le déchiffrer, la connexion échouera. Pour autoriser la connexion à un serveur précis, ajoutez une regex correspondant à celui-ci dans la colonne Destination. Pour gérer toutes ces exceptions d'un coup, dirigez tous les flux concernés vers un port spécifique du proxy et ajoutez une exception concernant ce port. Si vous ne déchiffrez pas certains flux, n'oubliez pas d'activer les pages de blocage HTTPS.

Règles de gestion des erreurs SSL

Dans cette section, créez des règles pour dire à l'Olfeo que faire si par exemple le serveur distant lui envoie un certificat expiré, ou s'il détecte des problèmes dans la chaîne de certificats.

Ajoutez une règle. Dans la colonne Cas d'erreur, sélectionnez les erreurs désirées. Dans la colonne Action, cliquez sur l'icône pour sélectionner Bloquer ou Autoriser :
- Bloquer : l'utilisateur recevra une page de blocage générée par le proxy
- Autoriser : la page sera déchiffrée malgré l'erreur SSL et sera envoyée à l'utilisateur.
Dans la liste Pour le reste, définissez l'action à effectuer pour toutes les erreurs SSL non concernées par les règles que vous avez créées.

Pour plus d'informations sur les erreurs dans la liste, voir https://www.openssl.org/docs/manmaster/man1/verify.html#DIAGNOSTICS (en anglais).