Configurar la inspección TLS (o SSL) en dispositivos Chrome

Información sobre la inspección TLS (o SSL) en dispositivos Chrome

La inspección de Seguridad en la capa de transporte (TLS) (también denominada "inspección SSL") es una función de seguridad proporcionada por filtros web de terceros que permite configurar un filtro web para detectar amenazas online.

Consejo: Configura la inspección TLS en la fase inicial de la implementación para asegurarte de que los usuarios puedan acceder a los sitios web sin problemas.

Antes de empezar

Para configurar la inspección TLS, recuerda que:

  • Necesitas un certificado TLS o SSL de tu proveedor de filtros web, por lo que deberás ponerte en contacto con esta persona para que te lo envíe. No se admiten los certificados DER codificados. Los dispositivos Chrome solo aceptan el formato PEM. Puedes consultar instrucciones sobre algunos proveedores conocidos; por ejemplo, para configurar dispositivos Chrome con Zscaler o para configurar Chromebooks con Barracuda.
  • El tráfico web se debería enviar a tu filtro web a través de una conexión proxy. No se admiten proxies en línea o transparentes. Si tienes que utilizar uno, puedes incluir *.google.com en la lista blanca para permitir que todas las solicitudes de google.com se transfieran sin la intercepción de TLS. No obstante, se trata de una configuración no admitida. Para obtener más información, consulta Acerca de los proxies transparentes.
  • No se admite el indicador del nombre del servidor (SNI). No obstante, hay una solicitud en curso para que se ofrezca esta función.
  • Los usuarios no pueden utilizar el acceso de inicio de sesión múltiple si la inspección TLS está habilitada.

Proxies transparentes

Acerca de los proxies transparentes

Los proxies transparentes o en línea consultan el certificado TLS (o SSL) para determinar una URL solicitada. En la mayoría de los casos, el nombre de dominio asociado al certificado TLS (nombre común) coincide con la URL que se solicita. El proxy comprueba el nombre común en una lista blanca de URLs para decidir si se debe permitir el tráfico. No obstante, muchas organizaciones de gran tamaño compran certificados TLS genéricos que no utilizan una URL explícita en el nombre común. Por ejemplo, Google utiliza *.google.com como nombre común en muchas de las URL que se requieren para que funcionen los dispositivos Chrome.

La información del certificado tiene este aspecto:

Certificate viewer

Para que funcione el proxy transparente, es necesario añadir *.google.com a la lista blanca de URLs para permitir que todo el tráfico se envíe a *.google.com. Esta configuración no se admite debido a las funciones de seguridad de Chrome que se aplican, por lo que recomendamos evitar utilizar proxies transparentes.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?