Configurar a inspeção TLS (ou SSL) em dispositivos Chrome

Sobre a inspeção TLS (ou SSL) em dispositivos Chrome

A inspeção Transport Layer Security (TLS, na sigla em inglês), também conhecida como inspeção SSL, é um recurso de segurança de filtros da Web de terceiros. Com ela, você configura o filtro da Web para detectar ameaças on-line.

Dica: configure a inspeção TLS no início da implantação para os usuários acessarem os sites sem problemas.

Antes de começar

Para configurar a inspeção TLS, lembre-se do seguinte:

  • Como você precisa de um certificado TLS ou SSL do seu provedor de filtro da Web, entre em contato com ele para solicitar. Certificados com codificação DER não são compatíveis. Os dispositivos Chrome só aceitam o formato PEM. Para ver os provedores mais utilizados, consulte Configurar dispositivos Chrome com o Zscaler e esta página sobre como configurar os Chromebooks com o Barracuda.
  • O tráfego da Web deve ser enviado para seu filtro da Web por meio de uma conexão proxy. Os proxies transparentes ou in-line não são compatíveis. Se você precisar usá-los, coloque *.google.com na lista de permissões para todas as solicitações desse domínio serem transmitidas sem a interceptação TLS. No entanto, essa configuração não é compatível. Para mais informações, consulte Sobre proxies transparentes.
  • No momento, não há suporte para a indicação de nome do servidor (SNI, na sigla em inglês). No entanto, existe uma solicitação aberta para esse recurso.
  • Não é possível usar o acesso de login múltiplo quando a inspeção TLS está ativada.

Proxies transparentes

Sobre proxies transparentes

Os proxies transparentes ou in-line identificam um URL solicitado analisando o certificado TLS (ou SSL). Na maioria dos casos, o nome de domínio associado ao certificado TLS (Nome comum) corresponde ao URL solicitado. O proxy verifica o Nome comum em uma lista de permissões de URL para decidir se o tráfego deve ser permitido. No entanto, muitas organizações de grande porte compram certificados TLS com caracteres curinga que não usam um URL explícito no Nome comum. Por exemplo, o Google usa *.google.com como Nome comum de muitos URLs necessários para os dispositivos Chrome funcionarem.

As informações do certificado têm esta aparência:

Certificate viewer

Para que o proxy transparente funcione, é necessário adicionar *.google.com à lista de permissões de URL para permitir todo o tráfego para *.google.com. Como essa configuração não é compatível devido aos recursos de segurança do Chrome ativados, recomendamos que você evite o uso de proxies transparentes.

Este artigo foi útil para você?
Como podemos melhorá-lo?