A propos de l'inspection HTTPS

L'inspection HTTPS ajoute une prise en charge de l'analyse du trafic Web chiffré SSL dans le cadre de Web Security Services. Dans le portail, vous pouvez configurer l'inspection HTTPS selon vos besoins et activer le service. Par défaut, l'inspection HTTPS est désactivée.
Lorsque vous activez l'inspection HTTPS, le trafic Web chiffré SSL est acheminé via l'infrastructure Web Security Service. L'inspection HTTPS étant activée, les opérations suivantes se produisent :
  • le trafic Web chiffré SSL est soumis à une analyse de détection de logiciels malveillants ;
  • le trafic de Web chiffré SSL est inclus dans les quotas de temps et de bande passante établis dans vos règles de politique de filtrage d'URL ;
  • le trafic Web chiffré SSL est inclus dans vos politiques Web URL Filtering.
Pour configurer l'inspection HTTPS, choisissez d'exclure ou non un site Web de l'inspection HTTPS. Indiquez également si vous autorisez à vos utilisateurs l'accès aux sites présentant des erreurs de certificat. Par défaut, quand vous activez l'inspection HTTPS, les sites avec des erreurs de certificat sont bloqués. Lorsqu'un utilisateur tente d'accéder à un site présentant une erreur de certificat, une alerte utilisateur s'affiche. Vous pouvez personnaliser l'alerte en fonction de vos besoins.
Vous pouvez choisir d'inclure le trafic Web chiffré SSL dans les rapports détaillés, les rapports d'audit et les rapports de synthèse de Web Security. Les statistiques clés apparaissant dans le tableau de bord de Web Security incluent le trafic Web chiffré SSL.
A propos de l'utilisation de l'inspection HTTPS avec des politiques de filtrage d'URL
Sans l'inspection HTTPS, le filtrage des URL peut être appliqué aux requêtes HTTPS. Lorsqu'un utilisateur tente d'accéder à une URL avec un nom de protocole HTTPS dans le navigateur, une requête de connexion
CONNECT
est envoyée au domaine initial. Ainsi, pour
https://www.exemple.fr/login
, le domaine initial
www.exemple.fr
est utilisé comme requête URI. Web URL Filtering utilise la requête URI dans vos stratégies. Par exemple, si vous créez une règle de blocage avec une entrée
*.exemple.fr/*
, l'URL
https://www.exemple.fr/login
sera bloquée, ce même si l'inspection HTTPS n'est pas activée. Pour clarifier, l'URI
CONNECT
ne contient pas le chemin, seulement le domaine (c.-à-d., www.exemple.fr) et le domaine est comparé à la configuration d'application des stratégies.
Cependant, si vous aviez spécifié une URL plus spécifique dans la règle, le blocage n'aurait pas eu lieu. Une règle de blocage avec l'entrée
*.exemple.fr/login*
ne permet pas de bloquer l'URL
https://www.exemple.fr/login
. Le blocage échoue, car la requête
CONNECT
envoyée à notre moteur de validation de politique ne contient qu'une partie de l'URL. L'inspection de HTTPS étant activé, l'URL complet est disponible pour validation. Dans cet exemple, Web URL Filtering peut bloquer l'accès à
https://www.exemple.fr/login
et afficher une alerte utilisateur.
Le même principe s'applique pour le filtrage par catégorie d'URL. Sans l'inspection HTTPS, l'URL dont la catégorie est analysée pour validation n'est pas l'URL entière, mais uniquement le domaine indiqué dans la requête
CONNECT
. Avec l'inspection HTTPS, l'URL entière fait l'objet d'une analyse à la recherche de la catégorie spécifiée dans la règle de filtrage. Quand vous activez l'inspection HTTPS, les résultats du filtrage des URL par catégorie peuvent varier.