Interception SSL
Un dispositif Citrix Secure Web Gateway (SWG) configuré pour l’interception SSL agit comme un proxy. Il peut intercepter et déchiffrer le trafic SSL/TLS, inspecter la requête non chiffrée et permettre à un administrateur d’appliquer des règles de conformité et des contrôles de sécurité. L’interception SSL utilise une stratégie qui spécifie quel trafic intercepter, bloquer ou autoriser. Par exemple, le trafic vers et depuis les sites web financiers, tels que les banques, ne doit pas être intercepté, mais d’autres trafics peuvent être interceptés, et les sites figurant sur liste noire peuvent être identifiés et bloqués. Citrix vous recommande de configurer une stratégie générique pour intercepter le trafic et des stratégies plus spécifiques pour contourner certains trafics.
Le client et le proxy Citrix SWG établissent une négociation HTTPS/TLS. Le proxy SWG établit une autre négociation HTTPS/TLS avec le serveur et reçoit le certificat du serveur. Le proxy vérifie le certificat du serveur au nom du client, et vérifie également la validité du certificat du serveur en utilisant le protocole OCSP (Online Certificate Status Protocol). Il régénère le certificat du serveur, le signe en utilisant la clé du certificat CA installé sur le dispositif, et le présente au client. Par conséquent, un certificat est utilisé entre le client et le dispositif Citrix ADC, et un autre certificat entre le dispositif et le serveur principal.
Important
Le certificat CA utilisé pour signer le certificat du serveur doit être préinstallé sur tous les dispositifs clients, afin que le certificat de serveur régénéré soit approuvé par le client.
Pour le trafic HTTPS intercepté, le serveur proxy SWG déchiffre le trafic sortant, accède à la requête HTTP en texte clair et peut utiliser n’importe quelle application de couche 7 pour traiter le trafic, par exemple en examinant l’URL en texte clair et en autorisant ou bloquant l’accès en fonction de la politique d’entreprise et de la réputation de l’URL. Si la décision de la stratégie est d’autoriser l’accès au serveur d’origine, le serveur proxy transmet la requête rechiffrée au service de destination (sur le serveur d’origine). Le proxy déchiffre la réponse du serveur d’origine, accède à la réponse HTTP en texte clair et applique éventuellement des stratégies à la réponse. Le proxy rechiffre ensuite la réponse et la transmet au client. Si la décision de la stratégie est de bloquer la requête vers le serveur d’origine, le proxy peut envoyer une réponse d’erreur, telle que HTTP 403, au client.
Pour effectuer l’interception SSL, en plus du serveur proxy configuré précédemment, vous devez configurer les éléments suivants sur un dispositif SWG :
- Profil SSL
- Stratégie SSL
- Magasin de certificats CA
- Apprentissage automatique et mise en cache des erreurs SSL