La inspección de la seguridad de la capa de transporte (TLS) (también conocida como inspección SSL) es una función de seguridad que proporcionan los filtros web de terceros. Te permite configurar tu filtro web para detectar amenazas en línea.
Sugerencia: Configura la inspección de TLS al comienzo de la implementación para garantizar que los usuarios puedan acceder a los sitios web sin problemas.
Antes de comenzar
Para configurar la inspección de TLS, ten en cuenta lo siguiente:
- Necesitas un certificado TLS o SSL de tu proveedor de filtros web. Consulta con tu proveedor para obtener el certificado. No se admiten certificados con codificación DER. Los dispositivos ChromeOS solo aceptan el formato PEM. Para proveedores populares, consulta Cómo configurar dispositivos ChromeOS con Zscaler y cómo configurar Chromebooks con Barracuda.
- El tráfico web debe enviarse a tu filtro web a través de una conexión de proxy. No se admiten proxies transparentes ni intercalados. Si tienes que usar un, puedes incluir *.google.com en la lista de entidades permitidas para permitir que se procesen todas las solicitudes de google.com sin intercepción de TLS. Sin embargo, esta configuración no es compatible. Para obtener más información, consulta la sección Acerca de los proxies transparentes.
- Actualmente, no se admite la indicación del nombre del servidor (SNI). Sin embargo, hay una solicitud en curso para esta función.
- Los usuarios no pueden usar el acceso múltiple si la inspección de TLS está habilitada.
Proxies transparentes
Acerca de los proxies transparentesLos proxies transparentes o intercalados determinan una URL solicitada observando el certificado TLS (o certificado SSL). En la mayoría de los casos, el nombre de dominio asociado con el certificado TLS (nombre común) coincide con la URL que se solicita. El proxy compara el nombre común con una lista de URLs permitidas para decidir si se debe permitir el tráfico o no. Sin embargo, muchas organizaciones grandes compran certificados TLS comodín que no utilizan una URL explícita para el nombre común. Por ejemplo, Google usa *.google.com como nombre común para muchas de las URLs que se requieren para que funcionen los dispositivos ChromeOS.
La información del certificado tiene el siguiente aspecto:
Para que funcione el proxy transparente, se debe agregar *.google.com a la lista de URLs permitidas a fin de permitir todo el tráfico hacia *.google.com. Esta configuración no es compatible debido a las funciones de seguridad de Chrome, y te recomendamos que evites el uso de proxies transparentes.