A inspeção Transport Layer Security (TLS, na sigla em inglês), também conhecida como inspeção SSL, é um recurso de segurança de filtros da Web de terceiros. Ela permite que você configure seu filtro da Web para detectar ameaças on-line.
Dica: configure a inspeção TLS no início da implantação para os usuários acessarem os sites sem problemas.
Antes de começar
Para configurar a inspeção TLS, lembre-se do seguinte:
- Como você precisa de um certificado TLS ou SSL do seu provedor de filtro da Web, entre em contato com ele para solicitar. Certificados com codificação DER não são compatíveis. Os dispositivos ChromeOS só aceitam o formato PEM. Para ver os provedores mais utilizados, consulte Configurar dispositivos ChromeOS com o Zscaler e esta página sobre como configurar os Chromebooks com o Barracuda.
- O tráfego da Web deve ser enviado para seu filtro da Web por meio de uma conexão proxy. Os proxies transparentes ou in-line não são compatíveis. Se você precisar usá-los, coloque *.google.com na lista de permissões para que todas as solicitações de google.com passem sem interceptação SSL. No entanto, essa configuração não é compatível. Veja mais informações em Sobre proxies transparentes.
- No momento, a indicação de nome do servidor (SNI, na sigla em inglês) não é compatível. No entanto, existe uma solicitação aberta para esse recurso.
- Não é possível usar o acesso de login múltiplo quando a inspeção TLS está ativada.
Proxies transparentes
Sobre proxies transparentesOs proxies transparentes ou in-line identificam um URL solicitado analisando o certificado TLS (ou SSL). Na maioria dos casos, o nome de domínio associado ao certificado TLS (Nome comum) corresponde ao URL solicitado. O proxy verifica o Nome comum em uma lista de permissões de URL para decidir se o tráfego deve ser permitido. No entanto, muitas organizações de grande porte compram certificados TLS com caracteres curinga que não usam um URL explícito no Nome comum. Por exemplo, o Google usa *.google.com como o nome real de muitos URLs exigidos para os dispositivos ChromeOS funcionarem.
As informações do certificado têm esta aparência:
Para que o proxy transparente funcione, é preciso adicionar *.google.com à lista de permissões de URL para permitir todo o tráfego para *.google.com. Como essa configuração não é compatível devido aos recursos de segurança do Chrome ativados, recomendamos que você evite o uso de proxies transparentes.