L'inspection TLS (Transport Layer Security), également appelée inspection SSL, est une fonctionnalité de sécurité fournie par des filtres Web tiers. Elle permet de configurer votre filtre Web pour qu'il détecte les menaces en ligne.
Conseil : Configurez l'inspection TLS dès le début de votre déploiement pour que les utilisateurs puissent accéder aux sites Web sans problème.
Avant de commencer
Pour configurer l'inspection TLS, tenez compte des éléments suivants :
- Vous avez besoin d'un certificat TLS ou SSL de votre fournisseur de filtres Web. Demandez-le-lui. Les certificats avec encodage DER ne sont pas acceptés. Les appareils ChromeOS n'acceptent que le format PEM. Les articles relatifs à la configuration des appareils ChromeOS avec Zscaler et à la configuration des Chromebooks avec Barracuda donnent plus d'informations sur les fournisseurs les plus connus.
- Le trafic Web doit être envoyé vers votre filtre Web via une connexion proxy. Les proxys transparents ne sont pas acceptés. Si vous devez en utiliser un, ajoutez l'adresse "*.google.com" à la liste d'autorisation pour que toutes les requêtes google.com puissent passer sans être interceptées par TLS. Toutefois, l'assistance ne couvre pas cette configuration. Pour en savoir plus, consultez la section À propos des proxys transparents.
- L'extension SNI (Server Name Indication) n'est pas acceptée pour le moment. Toutefois, l'ajout de cette fonctionnalité a été demandé.
- Les utilisateurs ne peuvent pas utiliser l'accès à la connexion multicompte si l'inspection TLS est activée.
Proxys transparents
À propos des proxys transparentsLes proxys transparents ou en ligne déterminent une URL demandée en examinant le certificat TLS (ou le certificat SSL). Dans la plupart des cas, le nom de domaine associé au certificat TLS (nom commun) correspond à l'URL demandée. Le proxy vérifie si le nom commun fait partie d'une liste d'autorisation d'URL et en déduit si oui ou non le trafic doit être autorisé. Cependant, de nombreuses grandes entreprises achètent des certificats TLS génériques qui n'utilisent pas d'URL explicite pour le nom commun. Par exemple, Google utilise "*.google.com" comme nom commun pour de nombreuses URL nécessaires au fonctionnement des appareils ChromeOS.
Les informations du certificat se présentent ainsi :
Pour que le proxy transparent fonctionne et pour que tout le trafic soit autorisé à accéder aux URL "*.google.com", la mention "*.google.com" doit être ajoutée à la liste d'autorisation d'URL. Cette configuration n'est pas couverte par l'assistance en raison des fonctionnalités de sécurité en vigueur dans Chrome. Nous vous recommandons d'éviter l'utilisation de proxys transparents.