Configurer le niveau de protection du protocole SSL

Par défaut, les firewalls Stormshield Network Security sont configurés avec un niveau de protection restrictif pour le protocole SSL : ils refusent tous les types de certificats incorrects et bloquent le trafic si le déchiffrement échoue.

Vous pouvez personnaliser cette configuration à votre convenance :

  1. Connectez-vous à l'interface Web d'administration.
  2. Dans le module Configuration > Protection applicative > Protocoles, sélectionnez le protocole SSL, puis le profil (0) ssl_01 (ou un autre profil suivant votre configuration).
  3. Dans l'onglet Proxy, zone Inspection de contenu, indiquez si vous souhaitez Bloquer la connexion ou Continuer l'analyse du flux dans le cas où les certificats présentés par les serveurs distants seraient des :
    • Certificats auto-signés. N'étant pas signés par une autorité de confiance publique (CA), ils peuvent être falsifiés plus facilement. Stormshield recommande de les bloquer.
    • Certificat expirés. Ils ne se trouvent plus dans la liste de révocation (CRL) et il est donc impossible de savoir s'ils sont valides ou révoqués. Stormshield recommande de les bloquer.
    • Certificat inconnus. Stormshield recommande de les bloquer.
    • Certificats de type incorrect,
    • Certificats avec FQDN incorrect,
    • Certificats avec FQDN différent du nom de domaine SSL.
  4. Cochez l’option Autoriser les adresses IP dans les noms de domaine SSL pour accéder à un site en utilisant son adresse IP à la place de son nom FQDN.
  5. Dans la zone Support, indiquez les actions à effectuer au cas où :
    • Le déchiffrement échoue,
    • Le certificat n'a pas pu être classifié dans les catégories de la base URL (Base URL embarquée ou Extended Web Control).
  6. Cliquez sur Appliquer.