Configurer le niveau de protection du protocole SSL
Par défaut, les firewalls Stormshield Network Security sont configurés avec un niveau de protection restrictif pour le protocole SSL : ils refusent tous les types de certificats incorrects et bloquent le trafic si le déchiffrement échoue.
Vous pouvez personnaliser cette configuration à votre convenance :
- Connectez-vous à l'interface Web d'administration.
- Dans le module Configuration > Protection applicative > Protocoles, sélectionnez le protocole SSL, puis le profil (0) ssl_01 (ou un autre profil suivant votre configuration).
- Dans l'onglet Proxy, zone Inspection de contenu, indiquez quelle action vous souhaitez effectuer dans le cas où les certificats présentés par les serveurs distants seraient des :
- Certificats auto-signés. N'étant pas signés par une autorité de confiance publique (CA), ils peuvent être falsifiés plus facilement. Stormshield recommande de les bloquer.
- Certificat expirés. Ils ne se trouvent plus dans la liste de révocation (CRL) et il est donc impossible de savoir s'ils sont valides ou révoqués. Stormshield recommande de les bloquer.
- Certificat inconnus. Stormshield recommande de les bloquer.
- Certificats de type incorrect,
- Certificats avec FQDN incorrect,
- Certificats avec FQDN différent du nom de domaine SSL.
Trois types d'action sont disponibles :
- Bloquer la connexion,
- Continuer l'analyse du flux,
- Déléguer à l'utilisateur. Cette action ajoutée en version v3.8.0 force le navigateur à présenter une alarme de sécurité informant des risques potentiels encourus. L'utilisateur prend alors la responsabilité de passer outre l'alarme s'il veut accéder au site demandé. Dans ce cas, l'administrateur est également informé par une alarme et une entrée dans le fichier de log des alarmes.
- Cochez l’option Autoriser les adresses IP dans les noms de domaine SSL pour accéder à un site en utilisant son adresse IP à la place de son nom FQDN.
- Dans la zone Support, indiquez les actions à effectuer au cas où :
- Le déchiffrement échoue,
- Le certificat n'a pas pu être classifié dans les catégories de la base URL (Base URL embarquée ou Extended Web Control).
- Cliquez sur Appliquer.