Sobre conexões TLS

Quando um usuário deseja se conectar a um recurso da web via protocolo HTTPS, você deve estabelecer uma conexão criptografada segura entre o computador do usuário e o servidor da web hospedando o recurso da web solicitado. Depois que uma conexão TCP/IP básica é estabelecida, o cliente e o servidor trocam certificados de segurança e configurações de criptografia. Como resultado, um canal de dados criptografado é criado usando o protocolo TLS (Segurança de Camada de Transporte). Por esta razão, conexões criptografadas também são chamadas de conexões TLS. Dentro deste canal, os dados são transmitidos via protocolo de camada de aplicativo, como o HTTP.

Se a descriptografia de conexões TLS/SSL estiver desativada no aplicativo, o servidor proxy retransmite mensagens entre o cliente e o servidor sem interferir no processo de estabelecimento da conexão criptografada. Nesse caso, os módulos de proteção do Kaspersky Web Traffic Security (Antivírus e Antiphishing) não conseguem verificar dados transmitidos dentro do canal de dados criptografado. Isso reduz o nível de proteção da infraestrutura de TI corporativa. Por isso, recomenda-se a ativação da descriptografia de conexões TLS/SSL.

Se a descriptografia de conexões TLS/SSL for ativada nas configurações do aplicativo, o servidor proxy ganha a possibilidade de intervir no processo de estabelecer uma conexão. Se esse for o caso, o aplicativo pode aplicar as ações definidas nas regras SSL ou as ações padrão para o tráfego se o tráfego verificado não atende as condições de nenhuma regra SSL.

O aplicativo fornece as seguintes ações para tratar as conexões criptografadas:

• Tunnel.
• Tunnel with SNI check.
• Bump.
• Terminate.

Para garantir o nível máximo de segurança, é recomendável selecionar a ação Bump. Recomenda-se usar as ações Tunnel e Tunnel with SNI check apenas para os recursos da web ou aplicativos que não sejam compatíveis com operações envolvendo descriptografia do tráfego transmitido (por exemplo, aplicativos de bancos).

Aplicação das ações Tunnel, Tunnel with SNI check ou Terminate

A figura abaixo ilustra os princípios de acordo com os quais as conexões criptografadas são estabelecidas após a aplicação das ações Tunnel, Tunnel with SNI check ou Terminate.

Princípios de acordo com os quais as conexões criptografadas são estabelecidas após a aplicação das ações Tunnel, Tunnel with SNI check ou Terminate

Estabelecer uma conexão criptografada consiste dos seguintes passos:

1. Solicitação do cliente

   O cliente envia uma solicitação CONNECT ao servidor proxy para se conectar ao servidor da Web. Esta solicitação contém o nome de domínio totalmente qualificado (FQDN) ou endereço IP do servidor da Web hospedando o recurso da Web solicitado.

2. Redirecionamento de solicitação para o servidor

   O servidor proxy gera e envia uma solicitação de conexão para o servidor da web, recebe uma resposta dele e a retransmite para o cliente.

3. Transmissão do SNI e outras configurações de criptografia do cliente para o servidor proxy

   O cliente envia para o servidor proxy suas configurações de criptografia compatíveis e o campo SNI, que indica o nome do domínio totalmente qualificado (FQDN) do recurso da Web relevante (site).

   Extensão do protocolo TLS que transmite o nome do site com o qual a conexão precisa ser estabelecida. O SNI é necessário em casos onde vários serviços operando sobre o protocolo HTTPS são hospedados pelo mesmo servidor físico e usam o mesmo endereço IP, mas cada serviço tem seu próprio certificado de segurança.

4. Verificar se a conexão deve ser interrompida

   Se a ação Terminate for aplicada à solicitação de acordo com as ações especificadas nas regras SSL ou com a ação padrão, a conexão é encerrada. Uma página de bloqueio não é exibida ao usuário.

5. Transmissão do SNI e outras configurações de criptografia do cliente para o servidor da web

   Se a ação Terminate não tiver sido aplicada à solicitação, o servidor proxy retransmite o campo SNI e outras configurações de criptografia para o servidor da web em nome do cliente.

6. Transmissão do certificado de um recurso da web para o servidor proxy

   O servidor da web retorna ao servidor proxy seu próprio conjunto de configurações de criptografia compatíveis e o certificado do recurso da web para o qual o usuário solicitou acesso com base no campo SNI.

7. Transmissão do certificado de um recurso da web para o cliente

   O servidor proxy retransmite o certificado e as configurações de criptografia recebidos do servidor da web para o cliente.

8. Estabelecimento de uma conexão segura

   O cliente e o servidor coordenam os outros dados da conexão. O canal de dados seguro é então criado e o cliente e o servidor podem trocar dados dentro desse canal.

Aplicação das ações Terminate e Bump

A figura abaixo ilustra os princípios de processamento de conexões criptografadas após a aplicação das ações Terminate e Bump. Nesse caso, as etapas 5 e 7 diferem do mecanismo básico pelo qual as conexões criptografadas são estabelecidas. Na etapa 5, o servidor proxy transmite o campo SNI e outras configurações de criptografia por conta própria e não em nome do cliente. O servidor proxy recebe do servidor da web o certificado do recurso da web solicitado, gera seu próprio certificado (substituto) com base nele e retransmite esse certificado substituto ao cliente.

Princípios de processamento de conexões criptografadas após a aplicação das ações Terminate e Bump

A tabela abaixo ilustra as diferenças entre como o aplicativo lida com uma conexão criptografada, dependendo da ação especificada.

Tratando conexões criptografadas, dependendo da ação definida

Sem envolvimento do servidor proxy	Tunnel	Tunnel with SNI check	Bump	Terminate
Solicitação do cliente.	Solicitação do cliente. O servidor proxy permite a criação de um canal seguro baseado no endereço IP ou no nome do domínio totalmente qualificado (FQDN) do servidor da Web.	Solicitação do cliente.	Solicitação do cliente.	Solicitação do cliente.
Resposta do servidor.	Resposta do servidor.	Resposta do servidor.	Resposta do servidor.	Resposta do servidor.
Transmissão do SNI e outras configurações de criptografia do cliente.	Transmissão do SNI e outras configurações de criptografia do cliente.	Transmissão do SNI e outras configurações de criptografia do cliente. O servidor proxy permite a criação de um canal seguro baseado no SNI do recurso da Web solicitado.	Transmissão do SNI e outras configurações de criptografia do cliente. O servidor proxy envia esses dados para o servidor da Web, como se esses dados fossem originados no servidor proxy e não no cliente.	A conexão é encerrada. Uma página de bloqueio não é exibida ao usuário.
Transmissão do certificado do recurso da Web solicitado.	Transmissão do certificado do recurso da Web solicitado.	Transmissão do certificado do recurso da Web solicitado.	Transmissão do certificado do recurso da Web solicitado. O servidor proxy intercepta o certificado enviado pelo servidor da web e gera seu próprio certificado substituto com base nele.	–
Estabelecimento de uma conexão segura.	Estabelecimento de uma conexão segura. O aplicativo não pode usar os módulos Antivírus e Antiphishing para verificar os dados transmitidos.	Estabelecimento de uma conexão segura. O aplicativo não pode usar os módulos Antivírus e Antiphishing para verificar os dados transmitidos.	Estabelecimento de uma conexão segura. Dois canais são criados: um entre o cliente e o servidor proxy e um entre o servidor proxy e o servidor da Web. O aplicativo pode analisar os conteúdos dos canais criptografados e aplicar regras de processamento aos dados transmitidos dentro do canal.	–

Topo da página