L'ispezione TLS (Transport Layer Security), nota anche come ispezione SSL, è una funzionalità di sicurezza fornita da filtri web di terze parti. Questa ispezione ti consente di impostare un filtro web per il rilevamento di minacce online.
Suggerimento: configura l'ispezione TLS nelle fasi iniziali dell'implementazione per assicurarti che gli utenti possano accedere ai siti web senza problemi.
Prima di iniziare
Per impostare l'ispezione TLS, tieni presente quanto segue:
- Devi ottenere un certificato TLS o SSL dal fornitore del filtro web. Rivolgiti al fornitore per ottenere il certificato. I certificati con codifica DER non sono supportati. I dispositivi ChromeOS accettano solo il formato PEM. Per un elenco di fornitori noti, vedi Configurare i dispositivi ChromeOS con Zscaler e come configurare i Chromebook con Barracuda.
- Il traffico web dovrà essere inviato al tuo filtro web mediante una connessione proxy. I proxy trasparenti o in linea non sono supportati. Se devi utilizzarne uno, puoi autorizzare *.google.com per consentire l'inoltro di tutte le richieste google.com senza intercettazione TLS. Tuttavia, questa configurazione non è supportata. Per ulteriori informazioni, vedi Informazioni sui proxy trasparenti.
- Attualmente la funzione Server Name Indication (SNI) non è supportata. Tuttavia, è stata aperta una richiesta per questa funzionalità.
- Gli utenti non possono utilizzare il livello accesso dell'account multiplo se l'ispezione TLS è abilitata.
Proxy trasparenti
Informazioni sui proxy trasparentiI proxy trasparenti o proxy in linea determinano un URL richiesto mediante l'esame del certificato TLS (o certificato SSL). Nella maggior parte dei casi, il nome di dominio associato al certificato TLS (nome comune) corrisponde all'URL richiesto. Il proxy cerca il nome comune in una whitelist di URL per decidere se consentire o meno il traffico. Tuttavia, molte organizzazioni di grandi dimensioni acquistano certificati TLS con caratteri jolly che non utilizzano un URL esplicito per il nome comune. Ad esempio, Google utilizza *.google.com come nome comune per molti degli URL necessari al funzionamento dei dispositivi ChromeOS.
Le informazioni del certificato hanno l'aspetto seguente:
Per il corretto funzionamento del proxy trasparente, è necessario che *.google.com venga aggiunto alla lista consentita degli URL, in modo che sia consentito tutto il traffico destinato a *.google.com. Questa configurazione non è supportata a causa di funzioni di sicurezza di Chrome attive. Sconsigliamo l'utilizzo dei proxy trasparenti.