SSL/TLS
ESET Server Security може перевіряти наявність загроз у з’єднаннях, які використовують протоколи Secure Sockets Layer (SSL) або Transport Layer Security (TLS). Рішення пропонує різні режими сканування для перевірки захищених за допомогою SSL з’єднань на основі різних типів сертифікатів: довірених, невідомих або сертифікатів, виключених із перевірок з’єднань, захищених SSL.
Режим SSL/TLS доступний у таких варіантах:
Режим фільтрації |
Опис |
|---|---|
Автоматично |
Режим за замовчуванням сканує лише відповідні програми, такі як веббраузери й поштові клієнти. Це можна змінити, вибравши програми, у яких сканується з’єднання. |
Інтерактивні |
Під час переходу на новий захищений протоколами SSL/TLS сайт (з невідомим сертифікатом) на екран виводиться діалогове вікно вибору дій. Цей режим дозволяє створювати список сертифікатів SSL/TLS, які будуть виключені зі сканування. |
На основі політик |
Виберіть цю опцію, щоб сканувати всі захищені SSL-з’єднання за винятком тих, які захищено сертифікатами, виключеними з перевірки. Якщо встановлюється нове з’єднання, яке використовує невідомий підписаний сертифікат, користувач не отримає повідомлення, а саме з’єднання автоматично фільтруватиметься. Під час доступу до сервера з ненадійним сертифікатом, який користувач позначив як довірений (доданий до списку довірених сертифікатів), з’єднання із цим сервером дозволяється, а вміст з’єднання фільтрується. |
Правила сканування програм: натисніть Змінити, щоб налаштувати поведінку ESET Server Security для певних програм.
Правила сертифікатів: натисніть Змінити, щоб налаштувати поведінку ESET Server Security для певних сертифікатів SSL.
Не сканувати трафік доменів, яким довіряє ESET: якщо цей параметр увімкнуто, з’єднання з довіреними доменами буде виключено зі сканування. Убудований білий список, яким керує ESET, визначає надійність домену.
Інтеграція кореневого сертифіката ESET у підтримувані програми
Для нормальної роботи SSL-з’єднань у браузерах і поштових клієнтах необхідно додати кореневий сертифікат ESET до списку відомих кореневих сертифікатів (видавців). ESET Server Security автоматично додасть сертифікат ESET SSL Filter CA до відомих браузерів (наприклад, Opera), якщо його увімкнено. Для браузерів, які використовують системне сховище сертифікатів, сертифікат додається автоматично. Наприклад, Firefox автоматично налаштований довіряти кореневим органам у системному сховищі сертифікатів.
Щоб застосувати сертифікат у непідтримуваних браузерах, виберіть пункт Переглянути сертифікат > Деталі > Копіювати до файлу, а потім імпортуйте його в браузер вручну.
Список програм, до яких застосовуються фільтри SSL/TLS
Дає змогу додавати програми, до яких застосовуються фільтри, і встановлювати одну з дій сканування. Список програм, до яких застосовуються фільтри SSL/TLS, можна використовувати, щоб налаштувати поведінку ESET Server Security відносно окремих програм і запам’ятати дії, вибрані, якщо в режимі фільтрації протоколів TCP/TLS вибрано Інтерактивний режим.
Дія, якщо неможливо перевірити надійність сертифіката
У деяких випадках сертифікат неможливо перевірити за допомогою сховища довірених кореневих центрів сертифікації. Це означає, що сертифікат уже підписаний (наприклад, адміністратором веб-сервера або невеликої компанії) й ухвалення рішення про вибір такого сертифіката як довіреного не завжди становить небезпеку. Більшість великих компаній (наприклад, банки) використовують сертифікати, підписані сховищем довірених кореневих центрів сертифікації.
Якщо встановлено прапорець Запитувати термін дії сертифіката (за замовчуванням), вам буде запропоновано вибрати дію, яку слід виконати під час установлення зашифрованого з’єднання. Відкриється діалогове вікно вибору дії, у якому ви зможете позначити сертифікат як довірений або виключений. Якщо сертифіката немає в списку TRCA, вікно має червоний колір. Якщо сертифікат є в списку TRCA, вікно буде зеленим. Можна вибрати опцію Блокувати з’єднання, які використовують цей сертифікат, щоб завжди розривати зашифровані з’єднання із сайтами, які використовують неперевірені сертифікати.
Блокування трафіку, зашифрованого застарілим протоколом SSL2
З’єднання за допомогою цієї попередньої версії протоколу SSL буде автоматично заблоковано.
Дія для пошкоджених сертифікатів
Пошкоджений сертифікат означає, що сертифікат використовує формат, який не розпізнається ESET Server Security або був отриманий пошкодженим (наприклад, перезаписаний випадковими даними). У цьому разі рекомендуємо залишити опцію "Блокувати з’єднання, які використовують цей сертифікат" вибраною. Якщо вибрано "Запитувати термін дії сертифіката", користувачеві буде запропоновано вибрати дію, яку слід виконати під час установлення зашифрованого з’єднання.