В соответствии с введенным алгоритмом аутентификации HTTPS сертификатов, используются исключительно доверенные сертификаты серверов. В локальных сетях, где включен контроль трафика, запрос изначально проходит через соответствующий интернет-шлюз, настроенный системным администратором.
В ИКС, начиная с версии 5.1, https-фильтрация реализуется 2 способами: с подменой сертификата и без подмены сертификата.
Предусмотрена возможность настройки фильтрации всего трафика с последующей расшифровкой, но происходить данный процесс будет путем подмены сертификатов. После этого, установленные правила фильтрации будут работать, но ввиду того, что происходит подмена, при ответе на запрос браузер выдает пользователю предупреждение о том, что поданные сведения некорректны.
Когда осуществляется фильтрация без параллельной подмены, ИКС получает сведения только о домене, но не имеет полного URL, что может несколько затруднить контроль и ограничение трафика в рамках локальной сети. К примеру, если необходимо заблокировать весь домен Яндекс, достаточно не использовать режим подмены сертификата. Для блокировки страницы или ссылки уже нужно использовать подмену.
Настройка фильтрации осуществляется следующим образом:
- Добавить корневой сертификат, имеющий стандартные настройки в модуле «Сертификаты».
- Установить дату окончания работы сертификата. По умолчанию стоит 1 год, этот срок лучше увеличить.
- Администратору необходимо установить, что закрытый ключ не нужно шифровать.
- Указать этот сертификат в настройках прокси в поле для ssl-фильтрации.
- На заключительном этапе стоит определить, будет совершаться подмена или нет.
- Залить сертификат в браузер