Configurar la inspección TLS (o SSL) en dispositivos Chrome

Información sobre la inspección TLS (o SSL) en dispositivos Chrome

La inspección de Seguridad en la capa de transporte (TLS) (también denominada "inspección SSL") es una función de seguridad proporcionada por filtros web de terceros que permite configurar un filtro web para detectar amenazas online.

Consejo: Configura la inspección TLS en la fase inicial de la implementación para asegurarte de que los usuarios puedan acceder a los sitios web sin problemas.

Antes de empezar

Para configurar la inspección TLS, recuerda que:

  • Necesitas un certificado TLS o SSL de tu proveedor de filtros web, por lo que deberás ponerte en contacto con esta persona para que te lo envíe. No se admiten los certificados DER codificados. Los dispositivos Chrome solo aceptan el formato PEM. Puedes consultar instrucciones sobre algunos proveedores conocidos; por ejemplo, para configurar dispositivos Chrome con Zscaler o para configurar Chromebooks con Barracuda.
  • El tráfico web se debería enviar a tu filtro web a través de una conexión proxy. No se admiten proxies en línea ni transparentes. Si tienes que utilizar uno, puedes incluir *.google.com en la lista de permitidos para que todas las solicitudes de google.com puedan transferirse sin la intercepción de SSL. No obstante, se trata de una configuración no admitida. Para obtener más información, consulta la sección Información sobre los proxies transparentes.
  • No se admite el indicador del nombre del servidor (SNI). No obstante, hay una solicitud en curso para que se ofrezca esta función.
  • Los usuarios no pueden utilizar el acceso mediante inicio de sesión múltiple si la inspección TLS está habilitada.

Proxies transparentes

Información sobre los proxies transparentes

Los proxies transparentes o en línea consultan el certificado TLS (o SSL) para determinar una URL solicitada. En la mayoría de los casos, el nombre de dominio asociado al certificado TLS (nombre común) coincide con la URL que se solicita. El proxy comprueba el nombre común en una lista de URL permitidas para decidir si se debe autorizar el tráfico. No obstante, muchas organizaciones de gran tamaño compran certificados TLS genéricos que no utilizan una URL explícita en el nombre común. Por ejemplo, Google utiliza *.google.com como nombre común en muchas de las URL que se requieren para que funcionen los dispositivos Chrome.

La información del certificado tiene este aspecto:

Certificate viewer

Para que el proxy transparente funcione, es necesario añadir *.google.com a la lista de URL permitidas, de forma que todo el tráfico pueda enviarse a *.google.com. Esta configuración no se admite debido a las funciones de seguridad de Chrome que se aplican, por lo que te recomendamos que evites utilizar proxies transparentes.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?