Gérer le niveau de sécurité lors des échanges SSL

Service de gestion des certificats

Définissez le certificat d'autorité qui créera des signatures pour chiffrer les flux entre le proxy et le client (fichiers .crt et .key). Utilisez un certificat généré par votre PKI ou par un outil de gestion de certificats. Ce certificat devra être déployé sur les postes clients. Attention, les certificats protégés par mot de passe ou passphrase ne sont pas supportés.

Taille de la base : taille du cache qui stocke les empreintes des certificats générés par l'Olfeo. Le coût de génération de certificats est élevé.

Personnaliser les options SSL

1. Choisissez les versions du protocole utilisées pour communiquer avec les serveurs distants : vous pouvez choisir de refuser d'établir la connexion à des serveurs utilisant des versions trop vulnérables de TLS. Il est recommandé de désactiver SSL v1, SSL v1.1 sauf si pour les versions les plus anciennes de navigateurs ou de serveurs. Maisil est préférable de ne pas désactivé TLS v1.2 (cela empêcherait par exemple Google de fonctionner).
2. Activer divers contournements de bugs : correspond à l'option SSL_OP_ALL d'OpenSSL. Cette option peut permettre de gérer certains problèmes entre d'anciens navigateurs et certains sites. Il est recommandé de la laisser activée.

Options avancées

Définissez les suites cryptographiques à utiliser pour établir des sessions TLS avec des serveurs distants. L'option Suites cryptographiques recommandées cochée par défaut correspond aux suites recommandées par l'ANSSI.