TLS-inspectie (Transport Layer Security, ook wel SSL-inspectie genoemd) is een beveiligingsfunctie die wordt aangeboden door webfilters van derden. U kunt hiermee uw webfilter zo instellen dat online beveiligingsrisico's worden gedetecteerd.
Tip: Stel TLS-inspectie vroeg in het implementatieproces in, zodat je gebruikers zonder problemen websites kunnen openen.
Voordat je begint
Onthoud het volgende als je TLS-inspectie gaat instellen:
- Je hebt een TLS- of SSL-certificaat nodig van je webfilterprovider. Vraag je provider om het certificaat. Certificaten met DER-codering worden niet ondersteund. ChromeOS-apparaten accepteren alleen de PEM-indeling. Ga voor veelgebruikte providers naar ChromeOS-apparaten configureren met Zscaler en Chromebooks configureren met Barracuda.
- Webverkeer moet met een proxyverbinding naar je webfilter worden gestuurd. Transparante (inline) proxy's worden niet ondersteund. Als je een transparante proxy moet gebruiken, kun je *.google.com op de toelatingslijst zetten, zodat alle verzoeken van google.com zonder TLS-inspectie worden doorgestuurd. Deze configuratie wordt echter niet ondersteund. Zie Over transparante proxy's voor meer informatie.
- Server Name Indication (SNI) wordt momenteel niet ondersteund. Er is echter een open verzoek voor deze functie.
- Gebruikers kunnen toegang tot meerdere accounts niet gebruiken als TLS-inspectie is ingeschakeld.
Transparante proxy's
Over transparante proxy'sTransparante (inline) proxy's bepalen de opgevraagde URL door naar het TLS-certificaat (of SSL-certificaat) te kijken. In de meeste gevallen komt de domeinnaam die is gekoppeld aan het TLS-certificaat (echte naam) overeen met de opgevraagde URL. De proxy controleert of de echte naam voorkomt op een toelatingslijst met URL's om te bepalen of verkeer wordt toegestaan. Veel grote organisaties schaffen echter TLS-certificaten met jokertekens aan, waarin geen expliciete URL wordt gebruikt als echte naam. Google gebruikt bijvoorbeeld *.google.com als echte naam voor veel van de URL's die vereist zijn voor ChromeOS-apparaten.
De certificaatgegevens zien er als volgt uit:
De transparante proxy werkt alleen als *.google.com op de toelatingslijst met URL's staat, zodat al het verkeer naar *.google.com wordt toegestaan. Deze configuratie wordt niet ondersteund, vanwege de beveiligingsfuncties in Chrome. We raden je aan geen transparante proxy's te gebruiken.