ESET Server Security – Inhaltsverzeichnis

SSL/TLS

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

ESET Server Security kann die Kommunikation über die SSL- (Secure Sockets Layer) oder TLS-Protokolle (Transport Layer Security) nach Bedrohungen durchsuchen. Die mit SSL geschützte Kommunikation kann anhand verschiedener Arten von Zertifikaten mit mehreren Scan-Modi analysiert werden: vertrauenswürdige Zertifikate, unbekannte Zertifikate oder Zertifikate, die vom Scannen SSL-geschützter Verbindungen ausgeschlossen sind.

Der SSL/TLS-Modus ist in den folgenden Optionen verfügbar:

Filtermodus	Beschreibung
Automatisch	Im Standardmodus werden nur geeignete Anwendungen wie Webbrowser und E-Mail-Clients gescannt. Sie können diese Funktionsweise überschreiben, indem Sie die Anwendungen auswählen, deren Kommunikation gescannt werden soll.
Interaktiv	Wenn Sie eine neue, mit SSL/TLS geschützte Seite (mit unbekanntem Zertifikat) aufrufen, wird ein Dialogfeld mit möglichen Aktionen angezeigt. In diesem Modus können Sie eine Liste von SSL/TLS-Zertifikaten erstellen, die von der Prüfung ausgeschlossen sind.
Regelbasiert	Mit dieser Option wird sämtliche SSL/TLS-geschützte Kommunikation gescannt, außer wenn Zertifikate verwendet werden, die vom Scannen ausgeschlossen wurden. Wird eine Verbindung mit einem unbekannten, signierten Zertifikat erstellt, so wird sie ohne gesonderten Hinweis automatisch geprüft. Wenn Sie auf einen Server zugreifen, der ein nicht vertrauenswürdiges Zertifikat verwendet, das jedoch in der Liste der vertrauenswürdigen Zertifikate als vertrauenswürdig eingestuft wurde, wird die Kommunikation zugelassen und der Inhalt des Kommunikationskanals gefiltert.

Regeln für Anwendungs-Scans – Klicken Sie auf Bearbeiten, um das Verhalten von ESET Server Security für bestimmte Anwendungen anzupassen.

Zertifikatregeln – Klicken Sie auf Bearbeiten, um das Verhalten von ESET Server Security für bestimmte SSL-Zertifikate anzupassen.

Datenverkehr mit von ESET als vertrauenswürdig eingestuften Domänen nicht scannen – Wenn diese Option aktiviert ist, wird die Kommunikation mit vertrauenswürdigen Domänen vom Scannen ausgeschlossen. Die Vertrauenswürdigkeit von Domänen wird durch eine von ESET verwaltete, integrierte Whitelist ermittelt.

ESET-Stammzertifikat in unterstützte Anwendungen integrieren

Um sicherzustellen, dass die SSL-/TLS-Kommunikation in Ihren Browsern und E-Mail-Clients ordnungsgemäß funktioniert, müssen Sie das ESET Stammzertifikat zur Liste der bekannten Stammzertifikate (Herausgeber) hinzufügen. ESET Server Security fügt das ESET Stammzertifikat für die SSL-Filterung automatisch zu bekannten Browsern (z. B. Opera) hinzu, wenn diese Funktion aktiv ist. Wenn ein Browser den Systemzertifizierungsspeicher verwendet, wird das Zertifikat automatisch hinzugefügt. Firefox ist beispielsweise automatisch so konfiguriert, dass den Stammzertifizierungsstellen im Systemzertifizierungsspeicher vertraut wird.

Um das Zertifikat für nicht unterstützte Browser zu übernehmen, klicken Sie auf Zertifikat anzeigen > Details > In die Datei kopieren ..., und importieren Sie es anschließend manuell in den Browser.

Liste der vom SSL/TLS-Filter betroffenen Anwendungen

Fügen Sie eine gefilterte Anwendung hinzu und legen Sie eine Scanaktion fest. Mit der Liste der vom SSL/TLS-Filter betroffenen Anwendungen können Sie das Verhalten von ESET Server Security für bestimmte Anwendungen anpassen und ausgewählte Aktionen speichern, wenn der Interaktive Modus unter Filtermodus für SSL/TLS-Protokoll ausgewählt ist.

Aktion, wenn die Vertrauenswürdigkeit des Zertifikats nicht ermittelt werden kann

In manchen Fällen kann das Zertifikat nicht über den Speicher vertrauenswürdiger Stammzertifizierungsstellen geprüft werden. Das bedeutet, dass jemand das Zertifikat signiert hat (z. B. der Administrator eines Webservers oder ein Kleinunternehmen). Das Zertifikat als vertrauenswürdig einzustufen, stellt nicht immer ein Risiko dar. Die meisten großen Unternehmen (z. B. Banken) verwenden Zertifikate, die von einer vertrauenswürdigen Stammzertifizierungsstelle signiert sind.

Wenn die Option Gültigkeit des Zertifikats erfragen ausgewählt ist (standardmäßig aktiviert), müssen Sie eine Aktion auswählen, die beim Herstellen verschlüsselter Verbindungen ausgeführt werden soll. Es wird ein Dialogfeld angezeigt, in dem Sie das Zertifikat als vertrauenswürdig oder ausgeschlossen markieren können. Wenn das Zertifikat nicht in der TRCA-Liste vorhanden ist, wird das Fenster rot angezeigt. Wenn sich das Zertifikat in der TRCA-Liste befindet, ist das Fenster grün. Aktivieren Sie die Option Kommunikation blockieren, die das Zertifikat verwendet, um verschlüsselte Verbindungen zu Sites, die nicht verifizierte Zertifikate verwenden, immer zu beenden.

Mit veraltetem SSL2 verschlüsselten Datenverkehr blockieren

Verbindungen, die die frühere Version des SSL-Protokolls verwenden, werden automatisch blockiert.

Aktion für beschädigte Zertifikate

„Beschädigtes Zertifikat“ bedeutet, dass das Zertifikat ein Format verwendet, das von ESET Server Security nicht erkannt wird oder beschädigt empfangen wurde (z. B. durch zufällige Daten überschrieben). In diesem Fall sollten Sie die Option „Kommunikation blockieren, die das Zertifikat verwendet“ aktiviert lassen. Wenn die Option „Gültigkeit des Zertifikats erfragen“ ausgewählt ist, muss der Benutzer eine Aktion auswählen, die beim Herstellen der verschlüsselten Verbindung ausgeführt werden soll.

˄˅