SSL/TLS
ESET Server Security может проверять наличие угроз в соединениях, для которых используются протоколы SSL и TLS. В данном решении доступны различные режимы сканирования для проверки защищенных SSL-соединений на основе различных типов сертификатов: доверенных сертификатов, неизвестных сертификатов или сертификатов, исключенных из проверок защищенных SSL-соединений.
Режим SSL/TLS доступен в следующих вариантах:
Режим фильтрации |
Описание |
|---|---|
Автоматически |
В режиме по умолчанию сканируются только соответствующие приложения, такие как веб-браузеры и почтовые клиенты. Это можно изменить, выбрав приложения, для которых следует сканировать обмен данными. |
Интерактивно |
При входе на новый защищенный протоколами SSL/TLS сайт (с неизвестным сертификатом) на экран выводится диалоговое окно выбора действия. Этот режим позволяет создавать список сертификатов SSL/TLS, которые будут исключены из сканирования. |
На основе политики |
Выберите этот вариант, чтобы сканировать все защищенные SSL-соединения, кроме тех, которые защищены сертификатами, исключенными из проверки. Если устанавливается новое соединение, использующее неизвестный заверенный сертификат, пользователь не получит уведомления, а само соединение автоматически будет фильтроваться. При доступе к серверу с ненадежным сертификатом, который помечен пользователем как доверенный (добавлен в список доверенных сертификатов), соединение с этим сервером разрешается, а содержимое канала связи фильтруется. |
Правила сканирования приложений — щелкните Изменить, чтобы настроить поведение ESET Server Security для определенных приложений.
Правила сертификата — щелкните Изменить, чтобы настроить поведение ESET Server Security для определенных SSL-сертификатов.
Не сканировать трафик с доменами, которым доверяет ESET — если этот параметр включен, обмен данными с доверенными доменами будет исключен из сканирования. Надежность домена определяется согласно встроенному белому списку, которым управляет ESET.
Интегрировать корневой сертификат ESET в поддерживаемые приложения
Для нормальной работы SSL-соединений в браузерах и почтовых клиентах необходимо добавить корневой сертификат ESET в список известных корневых сертификатов (издателей). Если этот параметр включен, ESET Server Security будет автоматически добавлять сертификат от ЦС фильтрации SSL ESET (сертификат ESET SSL Filter CA) в известные браузеры. Для браузеров, использующих системное хранилище сертификатов, сертификат добавляется автоматически. Например, в Firefox автоматически включено доверие к корневым центрам сертификации в системном хранилище сертификатов.
Для установки сертификата в неподдерживаемые браузеры выберите элементы Просмотреть сертификат > Подробности > Копировать в файл, а затем вручную импортируйте его в браузер.
Список приложений, отфильтрованных с помощью SSL/TLS
Добавьте отфильтрованное приложение и установите одно из действий сканирования. Список приложений, отфильтрованных с помощью SSL/TLS можно использовать для настройки поведения ESET Server Security для определенных приложений и для запоминания действий, выбранных, если в режиме фильтрации протоколов TCP/TLS выбран Интерактивный режим.
Действие, если не удается установить доверие сертификата
В некоторых случаях сертификат невозможно проверить с помощью хранилища доверенных корневых центров сертификации. Это значит, что сертификат уже подписан (например, администратором веб-сервера или небольшой компании) и принятие решения о выборе такого сертификата как доверенного не всегда представляет опасность. Большинство крупных компаний (например, банки) используют сертификаты, подписанные хранилищем доверенных корневых центров сертификации.
Если установлен флажок Запрашивать срок действия сертификата (по умолчанию), вам будет предложено выбрать действие при установке зашифрованного соединения. Отобразится диалоговое окно для выбора действия, в котором можно отметить сертификат как доверенный или исключенный. Если сертификат отсутствует в списке TRCA, окно будет красным. Если сертификат присутствует в списке TRCA, окно будет зеленым. Можно выбрать вариант Блокировать подключения, использующие данный сертификат, чтобы всегда разрывать зашифрованные соединения с сайтами, использующими непроверенные сертификаты.
Блокировать трафик, зашифрованный устаревшим протоколом SSL2
Подключение с использованием этой более ранней версии протокола SSL будет автоматически заблокировано.
Действие для поврежденных сертификатов
Поврежденный сертификат означает, что сертификат использует формат, который не распознается решением ESET Server Security, или был получен поврежденным (например, перезаписан случайными данными). В этом случае рекомендуем оставить включенным параметр «Блокировать подключения, использующие данный сертификат». Если выбран параметр «Запрашивать срок действия сертификата», при установке зашифрованного соединения пользователю будет предложено выбрать действие.