Red Line Software - nous vous aidons à contrôler l'efficacité du fonctionnement de votre bureau.

SSL Decoder

Qu'est-ce que c'est que SSL?

Secure Sockets Layer (SSL) est un standard de sécurité créé pour assurer des connexions sécurisées à travers l'Internet. Avec SSL, vous pouvez crypter des données confidentielles et les échanger via Internet avec de différents serveurs web et utilisateurs. Les composants minimum requis pour établir une connexion SSL comprennent: un serveur qui vous permet de traiter des connexions SSL, un client qui peut initialiser des connexions SSL sécurisées et un certificat installé sur le serveur (le plus souvent), sur le client (en tant qu'exception pour la plupart) ou sur les deux. Le certificat contient une clé publique.

Comment fonctionne SSL dans Microsoft ISA Server (Forefront TMG)

Microsoft ISA Server (Forefront TMG) permet aux clients du réseau local de la société d'initialiser les connexions SSL sortantes, mais il ne permet pas d'analyser ces connexions. Vous pouvez voir quelle en est la raison dans le tableau suivant:

1. le navigateur de l'utilisateur initialise une connexion à une ressource sécurisée.
2. Le serveur ISA (Forefront TMG) le comprend et établit une connexion directe (un tunnel) avec cette ressource.
3. après que la connexion est correctement établie, ISA Server (Forefront TMG) informe l'utilisateur et dès ce moment le navigateur de l'utilisateur et le serveur web du site sécurisé échangent les données directement via le tunnel créé.

Ainsi, ISA Server (Forefront TMG) agit en tant que lien intermédiaire d'envoi des données d'une partie à l'autre sans pénétrer dans le contenu, structure et type de ces données.

Avantages et désavantages de l'utilisation de SSL. Eventuels dangers

Il n'y a qu'un seul et le plus important avantage de l'utilisation de SSL: cryptage de toutes les données transférées entre le client et le serveur. Cet avantage est inhérent à la nature même et objectif de SSL. Le plus grand inconvénient de SSL est la basse performance résultant du cryptage total des données qui vont à travers le tunnel.

Comme cela arrive souvent, les personnes malicieuses transforment l'inconvénient en des outils dangereux. Quels problèmes peut avoir la société qui utilise SSL?

• Accès non autorisé aux sites web

  Puisque Microsoft ISA Server (Forefront TMG) ne vous permet pas de regarder à l'intérieur du trafic SSL, même les règles les plus sophistiquées de permission et d'interdiction élaborées par les administrateurs deviennent tout à fait inutiles. ISA Server (Forefront TMG) ne peut pas analyser les objets demandés, leurs noms, extensions de fichiers, types de données, en-têtes, longueurs et ainsi de suite. Ainsi, l'utilisateur peut accéder à n'importe quel site interdit via le SSL Web Proxy public. A N'IMPORTE QUEL SITE!

  
  
• Impossible de contrôler le contenu par toutes sortes d'analyseurs de contenu.

  Comme tous les autres, ce problème est dû au premier. Puisque ISA Server (Forefront TMG) ne peut pas accéder au contenu des objets demandés, il est impossible de contrôler, par exemple, s'il y a des virus et d'autres logiciels malveillants. Par conséquent il existe un danger potentiel d'infection de la station de travail du client et de mise en danger de la sécurité de tout le réseau local.

  
  
• Fuite des informations confidentielles

  L'utilisateur peut passer clandestinement n'importe quelles informations de la société en les envoyant tout simplement via la connexion SSL sécurisée. Et Microsoft ISA Server (Forefront TMG) ne comprendra même pas ce qui vient de quitter le réseau local.

Parmi d'autres désavantages on peut citer l'impossibilité d'appliquer tout type de filtres web qui sont souvente employés dans Microsoft ISA Server (Forefront TMG). Par exemple, Response Modifier ne peut pas analyser le contenu des pages que le client reçoit via la connexion sécurisée.

Objectif d' SSL Decoder

SSL Decoder (ci-après , Décodeur de SSL) est un filtre web spécial qui vous permet de jeter un coup d'oeil sur le trafic SSL. Cela veut dire qu'en réalité il élimine tous les désavantages d'emploi de SSL avec Microsoft ISA Server (Forefront TMG).

Vous obtenez les opportunités suivantes après l'installation du programme:

• affichage complet des URL de tous les objets demandés par les utilisateurs, des tailles des objets reçus, leurs types de données et toute autre chose que l'administrateur peut voir au cours des demandes HTTP ordinaires.
  
  Notez que le trafic devient visible seulement pour ISA Server (Forefront TMG). Le contenu non crypté ne va pas ailleurs. Ainsi, une personne externe verra le trafic sortant depuis l'interface externe d'ISA Server (Forefront TMG) en tant que trafic SSL sécurisé. Le trafic qui n'est pas crypté est disponible seulement à l'interieur du réseau local (dans la plupart des cas il ne quitte même pas l'ordinateur sur lequel s'exécute ISA Server (Forefront TMG)).
• analyse du contenu des pages et objets reçus par l'utilisateur. Si besoin, ces pages peuvent être modifiées à la volée avec des filtres web spéciaux, par exemple, avec le Modificateur de réponse (Response Modifier). Ou bien vous pouvez contrôler le contenu des pages, y rechercher des virus en utilisant de différentes tierces solutions.
• augmentation de la performance qui est dûe à la mémoire-cache. Puisque le trafic est maintenant transformé en trafic HTTP normal, tous les objets que l'utilisateur requiert via la connexion SSL vont dans la mémoire-cache d'ISA Server (Forefront TMG) après être traité par le Décodeur de SSL. Et bien entendu, le contenu ne sera pas pris de l'Internet, mais de la mémoire-cache si le même objet est demandé de nouveau. Par conséquent, les pages HTML sont affichées 15-20% plus vite.
• oubliez les connexions sécurisées lorsque vous créez les règles de stratégie. Maintenant tout le trafic SSL qui était précédemment invisible est affiché comme HTTP normal et, par conséquent, tous les attributs de la connexion peuvent être utilisés lors de la création des règles de stratégie.

Désavantages d' SSL Decoder:

• ralentissement dans le traitement du trafic SSL dû aux opérations supplémentaires de cryptage/ décryptage. Toutefois, ce ralentissement est incomparable à l'accélération qui résulte de la mise en mémoire-cache des objets demandés sur ISA Server (Forefront TMG).
• problèmes éthiques. L'administrateur obtient l'accès à la liste de tous les objets demandés par les utilisateurs. Tout ce qui était invisible devient visible. Il est recommandé d'en informer les utilisateurs du réseau local.

Comment fonctionne le programme

Lorsqu'une demande sortante de connexion à un serveur sécurisé externe est reçue, ISA Server (Forefront TMG) établie une connexion sécurisée avec le serveur web et ensuite informe l'utilisateur qu'il est prêt à fournir ses services en tant que lien intermédiaire dans le transfert du flux d'octets cryptés. Ainsi, vous pouvez voir que le processus est logiquement divisé en trois étapes:

• le client se connecte à ISA server (Forefront TMG)
• ISA Server (Forefront TMG) se connecte au serveur web distant
• les données sont transférées

Le Décodeur de SSL intervient entre chacune de ces étapes et modifie la direction du trafic de telle façon qu'il va à travers ses modules d'analyse. Ces opérations sont transparentes et pratiquement imperceptibles pour l'utilisateur.

Ceci est un algorithme approximatif du fonctionnement du Décodeur de SSL:

• réception de demande d'accès au site sécurisé depuis le client
• génération du certificat du serveur pour ce site
• signature du certificat avec le certificat racine précisé dans les paramètres du programme
• envoi du certificat au client
• établissement d'une connexion sécurisée avec le client
• établissement d'une connexion sécurisée avec le serveur externe
• demande de réception de la part de client et son transfert au serveur externe
• réception du résultat du serveur externe et son transfert au client
• fermeture de connexions sécurisées

Comme vous pouvez le voir de l'algorithme décrit, le Décodeur de SSL agit en tant que SSL Proxy qui reçoit les demandes des utilisateurs et leur renvoie les résultats.

L'algorithme contient certains problèmes importants qui doivent être expliqués:

• génération du certificat
  
  Le Décodeur de SSL agit comme une vraie autorité de certification, comme, par exemple, VeriSign, Equifax ou Thawte. Mais les certificats qu'il émet possèdent deux différences majeures:
  • ils sont gratuits
  • personne n'y fait confiance
• Dignature du certificat du serveur avec le certificat racine
  
  Pour que le certificat du serveur, émis par le Décodeur de SSL devienne pleinement fonctionnel, il doit être signé. Il est signé avec un autre certificat qui porte le nom de certificat racine. Le programme ne pourra pas fonctionner jusqu'à ce que vous ne lui donniez pas un certificat racine. Lisez plus sur les certificats dans une des sections suivantes.

Vous devez savoir qu'il y a des sites avec lesquels il est impossible de travailler via le Décodeur de SSL. De tels sites exigent les certificats du client. D'habitude, les certificats du client sont installés dans les stockages de certificats dans le navigateur de l'utilisateur sur leurs ordinateurs locaux et il est impossible d'accéder à leurs clés. Ainsi, le Décodeur de SSL ne peut pas obtenir l'objet du site au nom du client parce que le serveur exige que le client (le Décodeur de SSL agit en tant que client dans ce cas) confirme sa fiabilité avec un certificat personnel, mais le Décodeur de SSL ne peut pas le faire parce qu'il n'a pas de certificat requis. Par conséquent, la connexion est fermée.

Malheureusement, il est impossible d'accéder à ces sites quand le Décodeur de SSL est en cours d'exécution. Vous devez ajouter l'URL d'un tel site à la liste blanche.

Modes

Donc, le Décodeur de SSL divise toute connexion sécurisée en phases suivantes:

1. acceptation du client, analyse des données demandées, génération et envoi du certificat du serveur
2. réception de la demande pour obtenir certains objets du site sécurisé et transfert de cette demande à ISA Server (Forefront TMG)
3. envoi de la demande via la connexion sécurisée au serveur web externe

Les deux premières phases sont effectuées par le composant qui accepte les demandes du client: les données sont décryptées et envoyées en forme ouverte. La troisième phase est effectuée par le composant qui envoie les demandes du client à l'Internet: les demandes reçues en forme ouverte sont cryptées et envoyées à l'Internet.

Ces composants sont intégrés dans le programme et ne dépendent pas l'un de l'autre. Et ils peuvent s'exécuter sur des serveurs ISA Server (Forefront TMG) différents (logique pour Édition Entreprise d'ISA Server (Forefront TMG)).

Les scénarios de travail suivants sont disponibles dans le programme:

• Scénario 1. Ne rien faire
  
  Le programme est installé, mais désactivé. Les demandes SSL ne sont pas traitées. Ce scénario est utilisé lorsque vous avez besoin de désactiver provisoirement l'application sans la supprimer du système.


• Scénario 2. Décrypter et crypter
  
  C'est le scénario de travail le plus souvent employé. Et c'est le seul possible au cas si vous utilisez l'Edition standard d'ISA Server (Forefront TMG). Les deux composants mentionnés ci-dessus seront actifs avec ce scénario. Le premier va décrypter la demande de l'utilisateur, la traiter et la transférer vers ISA Server (Forefront TMG) en forme ouverte. Le second composant va recevoir la demande, la crypter et l'envoyer à l'Internet. Par conséquent, le trafic tout entier passera à travers ISA Server (Forefront TMG) en forme ouverte et sera crypté avant d'être envoyé ailleurs.


• Scénario 3. Décrypter les demandes HTTPS sortantes
  
  Ce scénario peut être appliqué au cas si vous utilisez l'Edition Entreprise d'ISA Server (Forefront TMG). Selon ce scénario, les demandes sortantes de l'utilisateur seront décryptées et transférées à ISA Server (Forefront TMG) en forme ouverte. Ce scénario peut convenir si vous avez un tableau et plusieurs serveurs ISA Server (Forefront TMG) dans votre réseau local. Si tous ces serveurs ISA Server (Forefront TMG) transfèrent à la fin les demandes au serveur frontière ISA (Forefront TMG), vous pouvez utiliser une installation séparée. C'est-à-dire, sélectionnez le scénario 3 sur le server qui accepte les clients et sélectionnez le scénario 4 sur le serveur frontière. A quoi servent les scénarios 3 et 4? A augmenter la performance. Pour éviter le double ou triple cryptage /décryptage, vous pouvez installer le Décodeur de SSL séparément à la fin de la chaîne des serveurs ISA Server (Forefront TMG) seulement. Mais même si vous utilisez les tableaux et plusieurs serveurs ISA Server (Forefront TMG), il est toujours possible d'installer le Décodeur de SSL seulement sur le serveur frontière et sélectionner le scénario 2.


• Scénario 4. Crypter les demandes décryptées auparavant
  
  Ce scénario est la suite du scénario précédent. Le Décodeur de SSL doit utiliser ce scénario uniquement sur le serveur frontière ISA (Forefront TMG). Attention! Au cas si vous sélectionnez le scénario 3 sur un de vos serveurs ISA Server (Forefront TMG), mais ne sélectionnez pas le scénario 4 sur le serveur frontière, les demandes SSL ne seront pas traitées ou seront traitées avec erreurs. Par conséquent, les utilisateurs peuvent voir des messages de problèmes de connexion aux sites demandés dans leurs navigateurs.

Pour mieux comprendre le principe de fonctionnement de chaque scénario, vous pouvez utiliser le tableau suivant:

Performance

Comme nous l'avons déjà dit, l'installation du programme peut (en théorie) ralentir le traitement des demandes SSL. Cela se produit parce que la connexion SSL originale du client (l'étape d'établissement du tunnel) est divisée en trois phases: désormais, toutes les demandes reçues du navigateur du client via la connexion cryptée demandent un traitement supplémentaire par ISA Server (Forefront TMG). Cela se voit davantage avec les vieux serveurs web qui emploient le protocole HTTP/1.0.

Toutefois, puisque:

• la quantité de vieux serveurs ne cesse de diminuer dans l'Internet
• le volume du trafic SSL est le plus souvent petit si l'on compare avec le trafic total
• les ordinateurs sont de nos jours rapides, puissants, ont une grande mémoire et ont en fait un taux de performance excessif
• après le décryptage tous les objets demandés seront mis en mémoire-cache d'ISA Server (Forefront TMG) et récupérés rapidement au cas s'ils sont demandés de nouveau

le ralentissement dû au cryptage/décryptage sera imperceptible pour l'utilisateur et sera récompensé par les avantages cités s ci-dessus.

Certificats. Certificat racine

Toute demande SSL emploie les certificats. Qu'est-ce c'est?

Tout simplement, les certificats représentent une substitution sécurisée pour la paire nom de connexion/mot de passe. Le certificat digital contient les informations sur la personne, la société ou le site web à qui appartient le certificat, sa clé publique, informations sur l'organisation qui l'a émis, la période de validité et la liste d'opérations pour lesquelles le certificat peut être utilisé. Les clés privées d'habitude ne sont pas stockées dans le certificat. Puisque les clés privées sont la partie la plus importante, elles doivent être stockées dans un emplacement sécurisé.

Les certificats sont émis par les autorités de certification. Qu'est-ce c'est?

Il existe deux types de certificats: signés automatiquement et émis par une autorité de certification. Si vous comparez un certificat digital avec une carte de visite, les certificats signés automatiquement sont comme les cartes de visite improvisées, tandis que les certificats émis par une autorité de certification sont comme les cartes de crédit créées pour vous par un centre de certification affidé. Avec de rares exceptions, la plupart de systèmes ne travaillent pas avec les certificats signés automatiquement.

L'autorité de certification est une organisation qui émet les certificats, contrôle leur validité et les révoque si nécessaire.

Le Décodeur de SSL fonctionne comme une vraie autorité de certification. A chaque fois qu'une demande SSL sortante est reçue, le Décodeur analyse ses paramètres et émet un certificat qui confirme la fiabilité du site et l'envoie ensuite au client. Le certificat émis doit convaincre le client (son navigateur) que le site visité et le certificat reçu correspondent l'un à l'autre. Autrement, le navigateur affiche un tas d'avertissements et recommande à l'utilisateur de ne pas visiter le site sécurisé. Par exemple, voici à quoi ressemble un tel avertissement dans Firefox:

Et ceci est Internet Explorer:

Deux conditions doivent être remplies pour convaincre le navigateur que le certificat est valide:

1. le certificat doit être signé par une autorité de certification
2. le navigateur du client doit faire confiance à cette autorité de certification et, par conséquent, à tous les certificats signés par cette autorité

La première condition est remplie assez facilement: créez tout simplement un nouveau certificat racine dans le programme à l'aide d'une boîte de dialogue spéciale, ou si votre société est en ce moment une autorité de certification compétente et autorisée, laissez le programme recevoir le fichier contenant le certificat racine. Dans les deux cas, le moment le plus important est que ce certificat racine ait des clés privées. Sinon il est impossible de signer avec lui le certificat émis.

La seconde condition est plus difficile à remplir. Pour le faire, vous devriez exporter le certificat du programme (sans clés privées) et le distribuer partout dans votre société. Ce certificat doit être installé sur chaque ordinateur et dans chaque navigateur du client dans la section Autorités de certification affidées.

Voici à quoi ça ressemble dans FireFox:

Et ceci est Internet Explorer:

Si les deux conditions sont remplies, les utilisateurs ne verrons pas de messages d'avertissements lorsqu'ils visiteront les sites sécurisés si le Décodeur de SSL est utilisé.

Consultez l'appendice pour les informations supplémentaires.

Génération d'un nouveau certificat racine

La boîte de dialogue pour la génération d'un nouveau certificat racine s'ouvre si vous cliquez sur le bouton Paramètres dans le groupe Certificat racine. Le processus consiste de quelques simples étapes:

1. Etape 1. Le certificat n'est pas installé. Génération d'un nouveau certificat.


Vous pouvez soit générer un nouveau certificat soit le charger du fichier à cette étape. Les certificats peuvent être chargés aux formats les plus souvent utilisés pour le stockage des certificats: PFX, CER, PEM.

Attention! Le fichier-source duquel est chargé le certificat doit contenir des clés privées.

Pour créer un nouveau certificat, cliquez sur le bouton Générer un nouveau Certificat racine. La boîte de dialogue suivante s'ouvrira:



Vous devez spécifier les paramètres du nouveau certificat racine dans les champs de cette boîte de dialogue. Il sera logique de préciser les attributs de votre société. Le nouveau certificat racine sera créé après que vous aurez cliqué sur le bouton OK.

2. Etape 2. Le certificat a été créé ou chargé, vérifié, mais n'a pas été installé. L'installation du certificat.


Vous pouvez afficher le certificat en cliquant sur le bouton Afficher et l'installer en cliquant sur le bouton Installer le certificat racine à cette étape.

3. Etape 3. Le certificat est installé. Affichage, sauvegarde, suppression et exportation du certificat.

Toutes les opérations concernant la création et l'installation du certificat ont été complétées. Le Décodeur de SSL est complètement prêt à travailler. A cette étape, vous pouvez voir le certificat, le supprimer pour créer ou charger un autre certificat ou pour l'enregistrer.

Attention! les clés privées seront enregistrées lorsque vous aurez sauvegardé le certificat.

En outre, vous pouvez utiliser cette étape pour exporter le certificat vers le fichier pour le distribuer ensuite sur les ordinateurs clients de votre société. Les clés privées ne seront pas exportées dans ce cas. Il est possible d'exporter le certificat aux formats le plus souvent utilisés pour stocker les certificats: PFX, CER, PEM.

Regardez ci-dessous pourquoi il est nécessaire de distribuer le certificat sur les ordinateurs clients.

Paramètres supplémentaires

Les paramètres supplémentaires suivants sont disponibles dans le programme:

• liste blanche de sites web
• paramètres de services supplémentaires

La liste blanche est employée pour spécifier la liste de sites qui doivent être exclues du traitement. Si vous avez des problèmes d'accès à certains sites sécurisés ou si certains sites utilisent les certificats du client, vous pouvez exclure ces sites du traitement du programme. Le Décodeur de SSL fonctionne avec la liste blanche avec l'aide des objets standard pour ISA Server (Forefront TMG), comme jeu de noms de domaine. Cela veut dire que vous devez seulement créer un nouveau jeu de noms de domaine et ajouter le site pour l'exclure ou l'ajouter dans le jeu de noms de domaine existant. Après quoi vous devrez dire au programme que tous les sites de votre jeu de noms de domaine ne doivent pas être traités. Vous pouvez le faire dans les paramètres de l'application en cliquant sur le bouton Paramètres dans la zone des Listes Blanches.

La boîte de dialogue des paramètres supplémentaires ressemble à ceci:

Option Modifier les fichiers journaux du proxy Web

Quand le Décodeur de SSL crypte/décrypte les données, il initialise toutes sortes de demandes sortantes. En fait, ces demandes sont effectuées POUR le client, c'est à dire le Décodeur de SSL lui-même obtient le contenu demandé par l'utilisateur qui a initialisé la connexion SSL et les lui donne ensuite. Si vous analysez les fichiers journaux d'ISA Server (Forefront TMG) après ces opérations, vous y verrez que:

1. l'utilisateur s'est connecté à ISA Server (Forefront TMG) et a initialisé une connexion sécurisée
2. ISA Server (Forefront TMG) a établi une connexion au serveur web externe sécurisé dont l'utilisateur voulait obtenir le contenu.
3. ISA Server (Forefront TMG) a demandé l'objet nécessaire du serveur web sécurisé
4. ISA Server (Forefront TMG) a obtenu l'objet et l'a envoyé à l'utilisateur
5. l'utilisateur a fermé la connexion
6. ISA Server (Forefront TMG) a fermé la connexion

Comme vous pouvez probablement le voir, toutes les demandes initialisées par ISA Server (Forefront TMG) sont en réalité des demandes initialisées à la demande de cet utilisateur. Voila pourquoi il serait logique qu'elles soient affichées dans le journal comme si elles étaient initialisées par l'utilisateur. Cela va vous permettre d'obtenir une image plus logique des demandes de l'utilisateur.

Si l'option Modifier les fichiers journaux du proxy Web est activée, le Décodeur de SSL va modifier les fichiers journaux du proxy Web de manière qu'ils s'affichent comme si les demandes de service étaient initialisées par l'utilisateur qui a initialisé la connexion SSL originale.

Option Activer la consignation des erreurs de connexion

Si cette option est activée, le Décodeur de SSL enregistrera les informations sur les erreurs (si elles se produisent) dans un fichier journal spécial de débogage. Ce fichier va aider le service de support à comprendre ce qui a provoqué l'erreur.

Configuration de Microsoft ISA Server (Forefront TMG) pour le travail avec le Décodeur de SSL

Le Décodeur de SSL peut fonctionner avec Microsoft ISA Server 2004 et 2006 et Forefront TMG. Les deux éditions: Standard et Entreprise sont prises en charge.

Dès que le Décodeur de SSL a besoin de l'accès à l'Internet pour télécharger des objets sécurisés, vous devez activer pour cela l'accès depuis l'Hôte local à l'Hôte externe. Vous pouvez le faire en créant une règle spéciale de permission. Comme celle-ci, par exemple (Notez, s'il vous plaît, que vous devez sélectionner "Tous les utilisateurs authentifiés" sur l'onglet "Utilisateurs" de la règle):

or like this one

Tester l'application

Comment s'assurer que le programme s'exécute et effectue correctement ses fonctions:

• afficher les fichiers journaux du proxy Web
  
  Quand le programme sera activé et sera en train d'exécution, vous verrez les URL complètes des objets demandés par l'utilisateur après avoir analysé les fichiers journaux (par exemple, avec Internet Access Monitor pour ISA Server). D'ailleurs, vous allez voir la quantité du trafic entrant et sortant pour chaque fichier demandé.


• configure Response Modifier
  
  Essayez de configurer le Response Modifier pour remplacer certains mots par d'autres. Après quoi visitez certaines ressources sécurisées et assurez-vous que les sous-chaînes sont remplacées.


• afficher le certificat
  
  Utilisez l'option Afficher le certificat du site sécurisé dans le navigateur lorsque vous vous trouvez sur une ressource sécurisée. Vous devez voir le certificat créé par le Décodeur de SSL et signé par le certificat racine que vous avez créé ou chargé dans le programme.

Si le programme de fonctionne pas, tout le trafic SSL sera traité comme il était traité avant. Cela veut dire qu'après que le client aura fermé la connexion, une ligne seulement sera visible dans les fichiers journaux, et vous ne verrez pas ce qui a été demandé et envoyé pendant cette connexion. Vous ne pourrez pas savoir si les objets demandés ont des virus ni modifier leur contenu.

La compatibilité du Décodeur de SSL avec d'autres applications de ISA Server (Forefront TMG) Toolkit et avec les produits tiers.

Tous les produits dans ISA Server (Forefront TMG) Toolkit sont étroitement liés l'un avec l'autre et s'exécutent en tant que chaîne isolée. L'ordre d'après lequel chaque filtre web auquel on accède est maintenu par ISA Server (Forefront TMG) et dépend de la priorité de chaque filtre. Pour éviter les conflits entre les programmes, vous devriez suivre les règles ci-dessous:

1. SSL Decoder doit être toujours SUPERIEUR au filtre Client User Name Resolver dans la liste de filtres web
2. SSL Decoder doit être toujours SUPERIEUR au filtre Advanced Web Routing Rules dans la liste de filtres web
3. Vous devez comprendre que les filtres tiers et le Décodeur de SSL peuvent entrer en conflit l'un avec l'autre. C'est pourquoi au cas des problèmes avec l'accès à un site sécurisé, vous devez vous assurer que le problème ne consiste pas en conflit avec quelque autre logiciel. Pour le faire, vous pouvez PROVISOIREMENT , à des fins de test, essayer de désactiver le filtre web alternatif. Si cela résout le problème, vous devez contacter notre service de support technique avec une description détaillée du problème.

Conclusion

C'est à chaque administrateur de déterminer le niveau de danger que peut présenter pour la société l'emploi du trafic SSL . Si le risque de perte des données importantes, d'infection des ordinateurs ou d'ignorance les règles de permission/interdiction d'accès par les utilisateurs est bas, il n'est pas très raisonnable d'utiliser le programme.

Cependant, si vous pensez que ces problèmes réduisent considérablement la sécurité du bureau, si vous désirez analyser les sites visités, si vous voulez que les règles d'accès fonctionnent indépendamment de la connexion employée (sécurisée ou pas), SSL Decoder est exactement ce dont vous avez besoin.