SSL/TLS
ESET Server Security může kontrolovat hrozby v komunikaci, která využívá protokoly SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security). Nabízí různé režimy kontroly k prověřování komunikace chráněné SSL na základě různých typů certifikátů: důvěryhodných certifikátů, neznámých certifikátů nebo certifikátů vyloučených z kontroly komunikace chráněné SSL.
Režim SSL/TLS je dostupný v následujících možnostech:
Režim filtrování |
Popis |
|---|---|
Automaticky |
Výchozí režim kontroluje pouze vhodné aplikace, jako jsou webové prohlížeče a poštovní klienti. Tento postup můžete ztišit výběrem aplikací, ve kterých je komunikace kontrolována. |
Interaktivní režim |
Při přístupu k nové stránce chráněné protokolem SSL/TLS (s neznámým certifikátem) se zobrazí dialogové okno s výběrem akce. Pomocí tohoto režimu můžete vytvořit seznam SSL/TLS certifikátů, které chcete vyloučit z kontroly. |
Administrátorský režim |
Tuto možnost vyberte, pokud chcete kontrolovat veškerou komunikaci chráněnou protokolem SSL/TLS, kromě komunikace chráněné certifikáty vyloučenými z kontroly. Při navázání komunikace využívající zatím neznámý certifikát, který je důvěryhodně podepsán, nebudete upozorněni a komunikace bude automaticky filtrována. Pokud přistupujete k serveru s využitím nedůvěryhodného certifikátu označeného za důvěryhodný (v seznamu Důvěryhodných certifikátů), komunikace bude povolena a přenášený obsah bude filtrován. |
Pravidla kontroly aplikací – kliknutím na tlačítko Změnit můžete pro ESET Server Security přizpůsobit chování konkrétní aplikace.
Pravidla pro certifikáty – kliknutím na tlačítko Změnit můžete přizpůsobit chování ESET Server Security u konkrétních SSL certifikátů.
Nekontrolovat komunikaci s doménami, které ESET považuje za důvěryhodné – pokud je tato možnost zapnutá, komunikace s důvěryhodnými doménami bude z kontroly vyloučena. Vestavěný whitelist spravovaný společností ESET určuje důvěryhodnost domény.
Integrovat kořenový certifikát ESET do podporovaných aplikací
Aby SSL komunikace probíhala ve webových prohlížečích a poštovních klientech správně, je potřeba přidat kořenový certifikát společnosti ESET do seznamu známých kořenových certifikátů (vydavatelů). ESET Server Security automaticky přidá certifikát ESET SSL Filter CA do používaných prohlížečů (např. Opera). Do prohlížečů využívající systémové úložiště kořenových certifikátů se certifikát přidá automaticky (například prohlížeče Internet Explorer). Firefox je například automaticky nakonfigurován tak, aby důvěřoval kořenovým autoritám v systémovém úložišti certifikátů.
V případě nepodporovaných prohlížečů certifikát exportujte pomocí tlačítka Zobrazit certifikát > Detaily > Kopírovat do souboru… a následně jej ručně importujte do prohlížeče.
Seznam SSL/TLS filtrovaných aplikací
Pomocí této možnosti můžete vytvořit seznam aplikací, u kterých bude komunikace SSL kontrolována. Pomocí této možnosti můžete přizpůsobit chování ESET Server Security pro konkrétní aplikace. V tomto seznamu naleznete aplikace, pro které jste v Interaktivním režimu nastavili zapamatování vybrané akce.
Akce v případě, že důvěryhodnost certifikátu nelze ověřit
V některých případech nelze certifikát webové stránky ověřit pomocí systémového úložiště kořenových certifikátů (TRCA). To znamená, že certifikát je někým samostatně podepsán (například administrátorem webového serveru nebo malou firmou) a považování tohoto certifikátu za důvěryhodný nemusí vždy představovat riziko. Většina velkých obchodních společností (například banky) používá certifikát podepsaný certifikační autoritou, která se nachází v TRCA.
Pokud vyberete možnost Dotázat se uživatele na platnost certifikátu (tato možnost je nastavena standardně), při navázání šifrované komunikace se zobrazí okno s výběrem akce. V dialogovém okně můžete certifikát označit jako důvěryhodný nebo vyloučený. Pokud se certifikát v seznamu TRCA nenachází, okno bude červené. Pokud je certifikát v seznamu TRCA, okno bude zelené. Pomocí možnosti Zakázat komunikaci využívající daný certifikát se vždy zablokuje komunikace s webovou stránkou využívající nedůvěryhodný certifikát.
Blokovat komunikaci šifrovanou zastaralým protokolem SSL2
Po vybrání této možnosti bude komunikace využívající starší verzi protokolu SSL automaticky blokována.
Akce v případě poškozených certifikátů
Poškozený certifikát znamená, že certifikát používá formát, který nebyl rozpoznán ESET Server Security, nebo byl přijat poškozený (například přepsán náhodnými daty). V tomto případě doporučujeme ponechat vybranou možnost Zablokovat komunikaci využívající daný certifikát. Pokud je vybrána možnost „Dotázat se uživatele na platnost certifikátu“, bude uživatel při navázání šifrované komunikace vyzván k výběru akce.