Entschlüsselungsprofile ermöglichen es Ihnen, Entschlüsselungseinstellungen für SSL/TLS-Verbindungen einzusetzen.
Der Neusignierung von Zertifikaten muss von den Endgeräten vertraut werden. Wenn das nicht der Fall ist, zeigen Browser eine Warnung an und können sich weigern, die Verbindung zu vollständig herzustellen.
Name | Beschreibung |
---|---|
In SSL/TLS-Einstellungen festgelegte CAs verwenden |
Verwendet die in SSL/TLS-Inspektionseinstellungen angegebene Zertifizierungsstelle. |
RSA neu signieren mit |
Wird verwendet, wenn das Zertifikat der Website mit RSA signiert wurde. Sie können ein EC- oder RSA-Zertifikat angeben. |
EC neu signieren mit |
Wird verwendet, wenn das Zertifikat der Website mit EC signiert wurde. Sie können ein EC- oder RSA-Zertifikat angeben. |
Name | Beschreibung |
---|---|
SSL 2.0 und SSL 3.0 |
Das Zulassen dieser Verbindungen verringert die Sicherheit. |
SSL-Komprimierung |
Die Komprimierung vor der Verschlüsselung weist bekannte Schwachstellen auf. |
Wenn SSL/TLS-Verbindungen das Limit überschreiten |
Gilt für zusätzlichen Verkehr, wenn die Menge die Entschlüsselungsmöglichkeiten der Firewall übersteigt. Um das Entschlüsselungslimit anzuzeigen, gehen Sie zu Kontrollzentrum, und wählen Sie das Widget SSL/TLS-Verbindungen aus. |
Nicht erkannte Verschlüsselungssammlungen |
Firewalls können Verkehr mit nicht erkannten Verschlüsselungssammlungen nicht entschlüsseln. Die Verwendung nicht erkannter Verschlüsselungssammlungen verringert die Sicherheit. |
Maßnahme für unentschlüsselbaren Verkehr:
Um diese Verbindungen zuzulassen, erstellen Sie ein Entschlüsselungsprofil, das auf Zulassen ohne Entschlüsselung gesetzt ist. Fügen Sie das Profil zu einer SSL/TLS-Inspektionsregel hinzu, wobei die Maßnahme auf Nicht entschlüsseln gesetzt sein muss.
Name | Beschreibung |
---|---|
Zu sperrende Zertifikatsfehler |
Wählen Sie die Zertifikatsfehler aus. XG Firewall blockiert Verbindungen mit den angegebenen Fehlern.
Wenn Sie in Internet > Ausnahmen eine Ausnahme für die HTTPS-Entschlüsselung erstellt haben, lässt XG Firewall Datenverkehr mit ungültigen Zertifikaten zu, wenn der Datenverkehr den Ausnahmekriterien entspricht. |
Minimale RSA-Schlüssellänge |
Wählen Sie eine minimale Schlüssellänge aus. Schlüssel mit weniger als 2048 Bit gelten nicht mehr als sicher. Lassen Sie sie nur zu, wenn es notwendig ist, um Kompatibilität mit älteren Servern zu gewährleisten, die nicht aktualisiert werden können. |
Minimale SSL/TLS-Version |
Wählen Sie die minimale Protokollversion aus, die zugelassen werden soll. Versionen vor TLS 1.2 gelten nicht mehr als sicher. Lassen Sie sie nur zu, wenn es zur Gewährleistung von Kompatibilität erforderlich ist. |
Maximale SSL/TLS-Version |
Wählen Sie die maximale Protokollversion aus, die eingesetzt werden soll. Um die neueste verfügbare Version zu implementieren, wählen Sie Maximale unterstützte. Wenn eine spätere Protokollversion verfügbar wird, implementiert XG Firewall diese automatisch. |
Zu sperrende Chiffrealgorithmen |
Wählen Sie den Schlüsselaustausch, den Authentifizierungsmechanismus, die Bulk-Chriffren und die Hash-Algorithmen aus, die gesperrt werden sollen. |
Sperrmaßnahme |
Wählen Sie die Maßnahme aus, die durchgeführt werden soll.
|