SSL/TLS

ESET Server Security umožňuje kontrolu na prítomnosť hrozieb v komunikáciách využívajúcich protokol SSL (Secure Sockets Layer) / TLS (Transport Layer Security).

Kontrolu možno prispôsobiť podľa toho, či certifikát využívaný danou SSL komunikáciou je dôveryhodný, neznámy, alebo je v zozname certifikátov, pre ktoré sa nebude vykonávať kontrola obsahu v protokole SSL.

Zapnúť filtrovanie protokolu SSL/TLS

Ak je táto možnosť vypnutá, nebude sa používať filtrovanie komunikácie cez protokol SSL. Režim filtrovania protokolu SSL/TLS je dostupný v nasledujúcich režimoch:

Automatický režim – bude vykonávaná kontrola každej komunikácie cez protokol SSL/TLS, okrem komunikácie využívajúcej certifikáty vylúčené z kontroly. Pri komunikácii využívajúcej nový - zatiaľ neznámy certifikát, ktorý je dôveryhodne podpísaný, nebude používateľ upozornený a komunikácia sa bude automaticky filtrovať. Ak používateľ pristupuje na server používajúci nedôveryhodne podpísaný certifikát, pričom bol tento používateľom označený ako dôveryhodný (zaradený do zoznamu dôveryhodných certifikátov), prístup bude povolený a komunikácia bude filtrovaná.

Interaktívny režim – v prípade, že zadáte novú stránku chránenú protokolom SSL/TLS (s neznámym certifikátom), zobrazí sa okno s možnosťou výberu akcie. Tento režim umožňuje vytvoriť zoznam certifikátov, pre ktoré sa nebude vykonávať kontrola v protokole SSL/TLS.

Režim politiky – v režime politiky budú všetky SSL/TLS pripojenia okrem vylúčení filtrované.

 

Zoznam SSL/TLS-filtrovaných aplikácií

Môžete pridať filtrovanú aplikáciu a nastaviť jednu z akcií kontroly. Pomocou zoznamu SSL/TLS-filtrovaných aplikácií môžete prispôsobiť správanie ESET Server Security pre konkrétne aplikácie, ako aj nastaviť zapamätanie zvolených akcií v prípade, že je pre Režim filtrovania protokolu SSL/TLS vybraná možnosť Interaktívny režim.

Zoznam známych certifikátov

Umožňuje vám nastaviť správanie programu ESET Server Security pre konkrétne SSL certifikáty. Tento zoznam je možné zobraziť a spravovať kliknutím na Upraviť vedľa Zoznamu známych certifikátov.

Vylúčiť komunikáciu s dôveryhodnými doménami

Umožňuje vylúčiť komunikáciu využívajúcu SSL certifikát s rozšíreným overením (EV, Extended Validation) z kontroly protokolu.

Blokovať šifrovanú komunikáciu používajúcu zastaraný protokol SSLv2

Komunikácia využívajúca túto staršiu verziu SSL protokolu bude automaticky blokovaná.

Koreňový certifikát

Pre správne fungovanie SSL/TLS komunikácie v danom prehliadači/e-mailovom kliente je nevyhnutné, aby do jeho zoznamu známych koreňových certifikátov (vydavateľov) bol pridaný aj certifikát spoločnosti ESET. Možnosť Pridať koreňový certifikát do známych prehliadačov by teda mala ostať označená. Voľba zabezpečuje jeho automatické pridanie do známych prehliadačov (napr. Opera, Firefox). Prehliadače používajúce ukladací priestor systémových certifikátov pridaný automaticky (napr. Internet Explorer).

Pre nepodporované prehliadače môže byť certifikát exportovaný cez tlačidlo Zobraziť certifikát > Podrobnosti > Kopírovať do súboru... a následne manuálne importovaný do prehliadača.

Platnosť certifikátu

Ak sa nedá overiť platnosť certifikátu pomocou certifikačného úložiska TRCA

V niektorých prípadoch nie je možné overiť platnosť certifikátu webovej stránky pomocou certifikačných autorít (Trusted Root Certification Authorities – TRCA). To znamená, že certifikát je niekým samostatne podpísaný (napr. správcom webového servera alebo malou firmou) a považovanie tohto certifikátu za dôveryhodný nemusí vždy predstavovať riziko. Väčšina veľkých obchodných spoločností (napr. banky) používajú certifikát podpísaný certifikačnou autoritou (TRCA – Trusted Root Certification Authorities). Ak je označená možnosťSpýtať sa používateľa na platnosť certifikátu (predvolená), používateľ bude v prípade nadviazania šifrovanej komunikácie upozornený na výber akcie. Pomocou možnosti Zablokovať komunikáciu využívajúcu daný certifikát sa vždy zablokuje komunikácia s webovou stránkou využívajúcou neoverený certifikát.

Ak je certifikát neplatný alebo poškodený

Znamená to, že mu vypršala platnosť alebo bol nesprávne podpísaný. V tomto prípade sa odporúča ponechať možnosť Zablokovať komunikáciu využívajúcu daný certifikát označenú.