Taşıma Katmanı Güvenliği (TLS) denetimi (diğer adıyla SSL denetimi), üçüncü taraf web filtreleri tarafından sağlanan bir güvenlik özelliğidir. Bu özellik, web filtrenizi İnternet üzerinden yayılan tehditleri algılayacak şekilde ayarlamanıza imkan tanır.
İpucu: Kullanıcıların web sitelerine sorunsuz olarak erişebilmesi için TLS denetimini dağıtım sürecinizin başlarında ayarlayın.
Başlamadan önce
TLS denetimini ayarlarken aşağıdaki hususları göz önünde bulundurmalısınız:
- Web filtresi sağlayıcınızdan edineceğiniz bir TLS veya SSL sertifikasına ihtiyacınız vardır. Sertifikanızı almak için sağlayıcınıza başvurun. DER kodlamalı sertifikalar desteklenmemektedir. ChromeOS cihazlar yalnızca PEM biçimini kabul eder. Popüler sağlayıcılar için ChromeOS cihazlarını Zscaler ile yapılandırma ve Chromebook'ları Barracuda ile yapılandırma başlıklı makalelere göz atın.
- Web trafiği, web filtrenize bir proxy bağlantısı üzerinden gönderilmelidir. Şeffaf veya satır içi proxy'ler desteklenmez. Böyle bir proxy kullanmak zorundaysanız *.google.com'u izin verilenler listesine ekleyerek tüm google.com isteklerinin TLS engellemesine takılmadan geçmesini sağlayabilirsiniz. Ancak bu desteklenmeyen bir yapılandırma olacaktır. Daha fazla bilgi için Şeffaf proxy'ler hakkında bölümüne bakın.
- Sunucu Adı Göstergesi (SNI) şu an için desteklenmemektedir. Ancak, bu özellikle ilgili değerlendirme sürecinde olan bir istek mevcuttur.
- TLS denetimi etkinse kullanıcılar çoklu oturum açma erişimini kullanamaz.
Şeffaf proxy'ler
Şeffaf proxy'ler hakkındaŞeffaf veya satır içi proxy'ler, istekteki URL'yi TLS sertifikasına (veya SSL sertifikasına) bakarak belirler. Çoğu durumda, TLS sertifikasıyla ilişkili olan alan adı (Ortak Ad), istenen URL ile eşleşir. Proxy, trafiğe izin verilip verilmeyeceğini belirlemek üzere Ortak Ad'ı bir URL izin verilenler listesine göre denetler. Ancak, çoğu büyük kuruluş, Ortak Ad için açık bir URL kullanmayan joker TLS sertifikaları satın almaktadır. Örneğin Google, ChromeOS cihazlarının çalışması için gerekli olan çoğu URL'de Ortak Ad olarak *.google.com'u kullanır.
Sertifika bilgileri aşağıdaki gibi görünür:
Şeffaf proxy'nin çalışabilmesi için *.google.com adresinin URL izin verilenler listesine eklenmesi ve *.google.com'a yönelik tüm trafiğe izin verilmesi gerekir. Bu yapılandırmanın desteklenmemesinin sebebi kullanımda olan Chrome güvenlik özellikleridir. Şeffaf proxy'leri kullanmaktan kaçınmanızı öneririz.