La inspección de Seguridad en la capa de transporte (TLS) (también denominada "inspección SSL") es una función de seguridad proporcionada por filtros web de terceros que permite configurar un filtro web para detectar amenazas online.
Consejo: Configura la inspección TLS en la fase inicial de la implementación para asegurarte de que los usuarios puedan acceder a los sitios web sin problemas.
Antes de empezar
Para configurar la inspección TLS, recuerda que:
- Necesitas un certificado TLS o SSL de tu proveedor de filtros web, por lo que deberás ponerte en contacto con esta persona para que te lo envíe. No se admiten los certificados DER codificados. Los dispositivos ChromeOS solo aceptan formato PEM. Puedes consultar instrucciones sobre algunos proveedores conocidos; por ejemplo, para configurar dispositivos ChromeOS con Zscaler o para configurar Chromebooks con Barracuda.
- El tráfico web se debería enviar a tu filtro web a través de una conexión proxy. No se admiten proxies en línea ni transparentes. Si tienes que utilizar uno, puedes incluir *.google.com en la lista de permitidos para que todas las solicitudes de google.com puedan transferirse sin la intercepción de SSL. No obstante, se trata de una configuración no admitida. Para obtener más información, consulta la sección Información sobre los proxies transparentes.
- No se admite el indicador del nombre del servidor (SNI). No obstante, hay una solicitud en curso para que se ofrezca esta función.
- Los usuarios no pueden utilizar el acceso mediante inicio de sesión múltiple si la inspección TLS está habilitada.
Proxies transparentes
Información sobre los proxies transparentesLos proxies transparentes o en línea consultan el certificado TLS (o SSL) para determinar una URL solicitada. En la mayoría de los casos, el nombre de dominio asociado al certificado TLS (nombre común) coincide con la URL que se solicita. El proxy comprueba el nombre común en una lista de URL permitidas para decidir si se debe autorizar el tráfico. No obstante, muchas organizaciones de gran tamaño compran certificados TLS genéricos que no utilizan una URL explícita en el nombre común. Por ejemplo, Google utiliza *.google.com como nombre común para muchas de las URL que se requieren para que funcionen los dispositivos ChromeOS.
La información del certificado tiene este aspecto:
Para que el proxy transparente funcione, es necesario añadir *.google.com a la lista de URL permitidas, de forma que todo el tráfico pueda enviarse a *.google.com. Esta configuración no se admite debido a las funciones de seguridad de Chrome que se aplican, por lo que te recomendamos que evites utilizar proxies transparentes.