La méthodologie

peut le décrypter, le filtrer, puis le recrypter immédiatement.

En considérant que SSL est censé apporter une sécurité de bout en bout, vous pensez peut-être qu’il est impossible de percer le tunnel sécurisé sans alerter l’utilisateur de la survenance d’un événement inhabituel. Par exemple, si un utilisateur se connecte à Redmondmag.com, le navigateur Web s’attend à ce que le serveur prouve que son certificat correspond au nom du site et qu’il a été délivré par une autorité de confiance.

Lorsqu’un serveur proxy fait office de point de terminaison d’un tunnel SSL pour le client, il n’a assurément pas de certificat valide pour Redmondmag.com ni pour les millions d’autres sites Web auxquels les utilisateurs peuvent essayer d’accéder. Pour contourner cet aspect, les solutions d’inspection SSL créent généralement des certificats à la volée et les présentent au client.

Cette opération peut être effectuée très rapidement et pour n’importe quel site Web auquel un utilisateur essaie d’accéder. Toutefois, la création de certificats à la volée provoque un problème. A moins que le certificat provienne d’une autorité de confiance, le navigateur Web va avertir l’utilisateur et lui recommander de ne pas continuer. Les utilisateurs doivent assurément tenir compte de l’avertissement car ils n’ont généralement aucun moyen de vérifier si le certificat a été émis par un périphérique sur leur réseau ou un imposteur sur Internet.

Pour faire en sorte que tout semble normal, vous devez configurer chaque navigateur afin qu’il accepte les certificats créés par le serveur proxy. Il suffit d’ajouter son certificat à la liste des CA racine de confiance du navigateur. Il est même possible de centraliser le déploiement du certificat en utilisant entre autres les stratégies de groupe.