Méthodes de filtrage pour HTTPS

Deux méthodes sont envisageables pour filtrer les connexions HTTPS : avec ou sans déchiffrement des flux SSL. Ces deux méthodes peuvent être combinées en fonction de différents critères, tels que l'authentification ou le réseau IP source.

Filtrage SANS déchiffrement des flux SSL

Cette méthode permet de bloquer les sites web HTTPS indésirables en vérifiant seulement leur certificat sans déchiffrer le flux. Il n'est donc pas nécessaire d'installer un certificat sur tous les navigateurs de chaque poste de travail.

En revanche, cette méthode ne permet pas d'analyser les connexions HTTPS avec les protections applicatives tels que l'anti-virus, le sandboxing, Google SafeSearch, etc.

De plus, un message de certificat invalide apparaît en cas de blocage et vous ne pouvez pas personnaliser la page de blocage.

Avec ce type de filtrage, les firewalls SNS sont compatibles avec les extensions SNI (Server Name Indication), vous permettant de décrire explicitement le nom de l'hôte avec lequel une session TLS est en négociation.

Filtrage AVEC déchiffrement des flux SSL

Cette méthode permet de bloquer les sites web HTTPS indésirables et d'analyser les connexions HTTPS avec les anti-virus, le sandboxing, Google SafeSearch, etc. Vous pouvez personnaliser la page de blocage qui s'affiche sur le poste de travail lorsqu'un site web HTTPS est bloqué.

Puisque les flux SSL sont déchiffrés par le firewall SNS, ce dernier va générer un certificat auto-signé que le navigateur ne pourra pas considérer de confiance. Un message d'erreur s'affichera sur le navigateur des utilisateurs indiquant la provenance suspecte du certificat présenté par le firewall SNS. Pour éviter ce type de message, vous devrez déployer l'autorité autosignée du firewall sur les navigateurs afin qu'elle soit reconnue.

Assurez-vous également de dresser une liste explicite des sites web HTTPS et/ou des catégories de sites web HTTPS que vous n'êtes pas autorisé à déchiffrer (e.g., en France les sites bancaires), afin de les laisser passer sans déchiffrement.

Résumé

Le tableau ci-dessous résume les caractéristiques de chaque méthode de filtrage :

  Sans déchiffrement Avec déchiffrement
Blocage des sites web HTTPS X X
Analyse anti-virus, sandboxing, SafeSearch, etc.   X
Affichage d'une page de blocage personnalisée   X
Un certificat doit être installé sur chaque poste de travail   X
Ne pas déchiffrer les sites et/ou catégories de sites non autorisés N/A X
Accès possible pour les périphériques sans certificat (BYOD) X