傳輸層安全標準 (TLS) 檢查是第三方網站篩選器所提供的安全防護功能,也稱為安全資料傳輸層 (SSL) 檢查,可讓您設定網站篩選器,藉此偵測線上威脅。
提示: 建議您在部署作業階段及早設定 TLS 檢查,確保使用者可以順利存取網站。
事前準備
如要設定 TLS 檢查功能,請注意下列事項:
- 您需要網站篩選器供應商提供的 TLS 或 SSL 憑證,請要求對方提供憑證,但須注意 Chrome 裝置不支援 DER 編碼憑證,ChromeOS 裝置只接受 PEM 格式。如需常用供應商的相關資訊,請參閱透過 Zscaler 設定 ChromeOS 裝置和如何透過 Barracuda 設定 Chromebook。
- 網路流量必須透過 Proxy 連線傳送至您的網站篩選器。系統不支援通透式 Proxy (或內嵌 Proxy),如果必須使用這類 Proxy,您可以將 *.google.com 加入許可清單,允許傳送所有 google.com 要求 (不經過 TLS 攔截)。不過,系統不支援這項設定。詳情請參閱關於通透式 Proxy。
- 系統目前不支援伺服器名稱指示 (SNI) 功能,不過已經有人公開建議我們提供這項功能。
- 如果 TLS 檢查功能已啟用,使用者便無法使用多帳戶登入存取權。
通透式 Proxy
關於通透式 Proxy通透式 Proxy (或內嵌 Proxy) 會檢查 TLS 憑證 (或 SSL 憑證),藉此判定要求的網址。在大多數情況下,與 TLS 憑證相關聯的網域名稱 (一般名稱) 會與要求的網址相符。Proxy 會根據網址許可清單檢查一般名稱,決定是否應允許流量。不過,許多大型機構會購買萬用 TLS 憑證 (不使用明確的一般名稱式網址)。舉例來說,Google 使用 *.google.com 做為許多 ChromeOS 裝置運作所需網址的一般名稱。
憑證資訊的形式大致如下:
您必須將 *.google.com 加入網址許可清單,允許所有傳送至 *.google.com 的流量,通透式 Proxy 才能正常運作。由於 Chrome 裝置設有 Chrome 安全性功能,因此不支援這項設定,我們建議您不要使用通透式 Proxy。