Crochetage SSL – HTTPS


Par défaut, les systèmes de HotSpot traditionnels ne font pas passer les sites SSL à travers un Proxy.

Cette configuration bien que logique provoque un trou de sécurité surtout lors de l’utilisation du HotSpot dans un environnement « publique » avec des utilisateurs inconnus ( Hôtels, Espaces d’accueil, Hôpitaux, Écoles…)

  • Les Utilisateurs peuvent utiliser des VPN SSL afin de masquer leurs accès.
  • Les Utilisateurs peuvent naviguer sur des sites dangereux en SSL sans en être inquiétés.
  • Aucune trace n’est générée lors de l’utilisation de sites SSL.
  • Aucun contrôle et filtrage Web ne peuvent être mis en place.

Pour ce faire, et par défaut, Artica transfert les accès SSL vers le proxy Local.
Celui-ci est alors en charge et capable de filtrer/caches les sites Internet.
Toutefois, cette méthode provoque des désagréments:

En effet pour pouvoir déchiffrer le SSL, le proxy est obligé de se placer en mode Homme du milieu ( MAN-IN-THE-MIDDLE).
Le proxy dispose de son propre certificat et va l’utiliser afin de communiquer avec les navigateurs, de l’autre côté, il va communiquer avec les sites Internet de façon traditionnelle.
Cette méthode remplace le certificat d’origine du site Internet de destination par celui du proxy.
Face à un certificat auto-signé, le navigateur émet une alerte à l’utilisateur comme quoi le certificat n’est pas celui escompté.

Dans bien des cas, il suffit simplement de faire confiance au certificat du proxy afin de pouvoir naviguer correctement.
Toutefois, certaines applications et navigateurs s’obligent à se connecter uniquement avec le vrai certificat ( par exemple Google Chrome et le sites de Google ).

Pour ce faire, il existe 3 méthodes afin de pallier à cette éventualité:

Méthode 1 – Radicale – Désactiver le crochetage SSL:

Dans l’onglet « Paramètres du service », décochez la case « SSL transparent »

09-08-2014 16-30-59

Si cette option est décochée , alors les utilisateurs vont naviguer en direct sans avoir à utiliser le système Proxy.

Méthode 2 – Forte Administration – Listes blanches -

Cette méthode consiste à retirer l’utilisation du Proxy SSL uniquement pour certains sites considérés comme importants  ( par exemple Google).

Dans la section réseaux, cliquez sur le Bouton Sites SSL de confiance

09-08-2014 16-35-44

  • Cette méthode fonctionne de façon identique aux ACL ( listes de contrôle d’accès ) proxy.
  • Vous affectez des objets proxy qui hébergent des adresses.
  • Il existe des macros pré-déterminées comme TeamViewer ou Google vous permettant de vous abroger de la liste complètes des adresses IP de destination.
  • Cliquez sur le bouton appliquer afin qu’Artica puisse mettre en place les règles d’autorisation.

Méthode 3 – A la charge de l’utilisateur

Cette méthode consiste à expliquer à l’utilisateur qu’il doit importer le certificat du proxy en tant que certificat de confiance.
Si l’utilisateur effectue cette opération alors aucune erreur ne sera générée sur l’ensemble des sites Internet.

Pour activer le portail d’explication, dans la section des options SMTP, mettez en vert l’option « Activer le portail d`explication SSL » et modifiez le texte d’explication pour télécharger le certificat.

09-08-2014 17-30-33

Les utilisateurs seront alors invités à télécharger le certificat et naviguer sur Internet

09-08-2014 17-43-10

 

Laissez un commentaire