SSL/TLS
ESET Mail Security może sprawdzać zagrożenia w komunikacji korzystające z protokołów Secure Sockets Layer (SSL) lub Transport Layer Security (TLS). Oferuje różne tryby skanowania w celu badania komunikacji chronionej protokołem SSL w oparciu o różne typy certyfikatów: zaufane certyfikaty, nieznane certyfikaty lub certyfikaty wyłączone ze sprawdzania komunikacji chronionej protokołem SSL.
Tryb SSL/TLS jest dostępny w następujących opcjach:
Tryb filtrowania |
Opis |
|---|---|
Automatyczny |
Tryb domyślny skanuje tylko odpowiednie aplikacje, takie jak przeglądarki internetowe i klienty poczty e-mail. Można to zmienić, wybierając aplikacje, w których skanowana jest komunikacja. |
Interaktywny |
Po wprowadzeniu nowej witryny chronionej protokołem SSL/TLS (przy użyciu nieznanego certyfikatu) wyświetlane jest okno dialogowe umożliwiające wybranie czynności. W tym trybie można utworzyć listę certyfikatów SSL/TLS, które zostaną wyłączone ze skanowania. |
Tryb oparty na politykach |
Wybranie tej opcji powoduje skanowanie całej komunikacji chronionej protokołem SSL oprócz komunikacji chronionej za pomocą certyfikatów wyłączonych ze sprawdzania. W przypadku nawiązania nowego połączenia z użyciem nieznanego, podpisanego certyfikatu użytkownik nie zostanie powiadomiony, a połączenie będzie automatycznie filtrowane. Gdy dostęp do serwera uzyskiwany jest przy użyciu certyfikatu niezaufanego oznaczonego jako zaufany (znajdującego się na liście zaufanych certyfikatów), komunikacja z serwerem nie zostanie zablokowana, a treść kanału komunikacji będzie filtrowana. |
Reguły skanowania aplikacji — kliknij przycisk Edytuj, aby dostosować zachowanie ESET Mail Security dla określonych aplikacji.
Reguły certyfikatów — kliknij przycisk Edytuj, aby dostosować zachowanie ESET Mail Security dla określonych certyfikatów SSL.
Nie skanuj ruchu z domenami zaufanymi ESET — po włączeniu tej opcji komunikacja z zaufanymi domenami zostanie wyłączona ze skanowania. Wbudowana biała lista zarządzana przez firmę ESET określa wiarygodność domeny.
Integracja certyfikatu głównego ESET z obsługiwanymi aplikacjami
Aby w przeglądarkach internetowych / programach poczty e-mail komunikacja przy użyciu protokołu SSL przebiegała poprawnie, konieczne jest dodanie certyfikatu głównego firmy ESET do listy znanych certyfikatów głównych (wydawców). Po włączeniu, program ESET Mail Security automatycznie doda certyfikat ESET SSL Filter CA do znanych przeglądarek (na przykład Opera). Certyfikat jest dodawany automatycznie do przeglądarek korzystających z systemowego magazynu certyfikacji. Na przykład Firefox jest automatycznie skonfigurowana tak, aby ufać urzędom głównym w magazynie certyfikatów systemu.
Aby zastosować certyfikat w przypadku nieobsługiwanych przeglądarek, należy kliknąć opcję Wyświetl certyfikat > Szczegóły > Kopiuj do pliku, a następnie ręcznie zaimportować go do przeglądarki.
Lista aplikacji, dla których przeprowadzane jest filtrowanie protokołu SSL/TLS
Umożliwia dodawanie aplikacji podlegających filtrowaniu i konfigurowanie czynności skanowania. Lista aplikacji, dla których przeprowadzane jest filtrowanie protokołu SSL/TLS może posłużyć do dostosowania działań programu ESET Mail Security do określonych aplikacji, a także do zapamiętania czynności wybieranych w przypadku, gdy w obszarze Tryb filtrowania protokołu SSL/TLS wybrany jest tryb Interaktywny.
Działanie, jeśli nie można ustanowić zaufania certyfikatu
W niektórych przypadkach certyfikat strony internetowej nie może być zweryfikowany przy użyciu magazynu zaufanych głównych urzędów certyfikacji. Oznacza to, że został on podpisany przez jakąś osobę (np. przez administratora serwera WWW lub małej firmy) i uznanie go za zaufany certyfikat niekoniecznie wiąże się z ryzykiem. Większość dużych przedsiębiorstw (np. banki) korzysta z certyfikatów podpisanych przez jeden z zaufanych głównych urzędów certyfikacji.
Jeśli pole wyboru Pytaj o ważność certyfikatu jest zaznaczone (ustawienie domyślne), zostanie wyświetlony monit o wybranie czynności, która ma zostać podjęta przy nawiązywaniu komunikacji szyfrowanej. Zostanie wyświetlone okno dialogowe wyboru działania, w którym będzie można oznaczyć certyfikat jako zaufany lub wyłączony. Jeśli certyfikatu nie ma na liście TRCA, okno jest czerwone. Jeśli certyfikat znajduje się na liście TRCA, okno będzie zielone. Można wybrać opcję Blokuj komunikację używającą certyfikatu, aby zawsze przerywać szyfrowane połączenia z witrynami, na których używane są niezweryfikowane certyfikaty.
Zablokuj ruch zaszyfrowany przez nieaktualny protokół SSL2
Komunikacja używająca wcześniejszej wersji protokołu SSL będzie automatycznie blokowana.
Akcja wykonywana w przypadku uszkodzonych certyfikatów
Uszkodzony certyfikat oznacza, że certyfikat używa formatu, który nie został rozpoznany przez ESET Mail Security lub został odebrany w stanie uszkodzonym (na przykład nadpisany przez losowe dane). W takim przypadku zalecamy pozostawienie zaznaczenia opcji Blokuj komunikację używającą certyfikatu. Jeśli pole wyboru Pytaj o ważność certyfikatu jest zaznaczone, zostanie wyświetlony monit o wybranie przez użytkownika czynności, która ma zostać podjęta przy nawiązywaniu komunikacji szyfrowanej.