Utiliser une Action de Contenu HTTP pour le Déchargement TLS/SSL

Lorsque l'inspection de contenu est activée, le Firebox peut déchiffrer une requête HTTPS, examiner son contenu puis chiffrer à nouveau la requête avec un nouveau certificat. Le proxy HTTP inspecte le contenu des requêtes correspondant aux règles de nom de domaine configurées avec l'action Inspecter et pour les catégories WebBlocker que vous avez choisi d'inspecter.

Dans certains cas, il n'est pas utile de chiffrer le contenu transmis du Firebox au serveur interne. Cette fonction se nomme « déchargement TLS/SSL ». Cette option réduit la charge du processeur du Firebox, qui évite au serveur Web interne de consacrer ses ressources au chiffrement et au déchiffrement TLS/SS.

Grâce au déchargement TLS/SSL, les connexions entre le Firebox et le serveur Web interne ne sont pas chiffrées. Cette situation pourrait ne pas répondre aux exigences de conformité relatives à la sécurité de certaines données.

Pour activer le déchargement TLS/SSL, configurez une action de contenu qui spécifie le domaine ou le chemin d'un serveur puis activez l'option Déchargement TLS/SSL.

Capture d'écran d'une règle de contenu avec le Déchargement TLS/SSL activé dans Fireware Web UI

Règle de contenu avec le Déchargement TLS/SSL activé dans Fireware Web UI

Capture d'écran d'une règle de contenu avec le Déchargement TLS/SSL activé

Règle de contenu avec le Déchargement TLS/SSL activé dans Policy Manager

Pour utiliser cette action pour les requêtes HTTPS entrantes, vous devez spécifier l'action de contenu dans une action Proxy HTTPS. Pour plus d'informations, consultez Proxy HTTPS : Règles de Nom de Domaine.

Dans une action de contenu, vous pouvez activer le Déchargement TLS/SSL dans une règle de contenu ou dans l'action à entreprendre si le contenu ne correspond à aucune règle. Pour obtenir des informations concernant la configuration des actions de contenu, consultez Configurer les Actions de Contenu HTTP.

Lorsque vous activez l'option Déchargement TLS/SSL dans une règle de contenu :

  • HTTPS est utilisé pour le trafic entre les clients externes et le Firebox
  • HTTP est utilisé pour le trafic entre le Firebox et le serveur interne

Si vous activez l'option de déchargement TLS/SSL, il peut s'avérer utile de modifier les paramètres de configuration de votre application serveur de manière à ce que celle-ci utilise HTTPS dans les liens/redirections, même si les requêtes entrantes utilisent HTTP.

Par exemple, Wordpress nécessite le paramètre suivant :

$_SERVER[‘HTTPS’]=‘on’;

Certaines applications reconnaissent l'en-tête Upgrade-Insecure-Requests.

Upgrade-Insecure-Requests: 1

Voir Également

Configurer les Actions de Contenu HTTP

Proxy HTTPS : inspection du contenu

Proxy HTTPS : Règles de Nom de Domaine