11.19. Профили SSL

Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в правилах инспектирования SSL, в настройках веб-консоли, страницы авторизации, страницы блокировки, веб-портале.

Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки --> Профили SSL и указать необходимые параметры:

Наименование

Описание

Название

Название профиля SSL.

Описание

Описание профиля SSL.

Протоколы SSL

Минимальная версия TLS - устанавливает минимальную версию TLS, которая может быть использована в данном профиле.

Максимальная версия TLS - устанавливает максимальную версию TLS, которая может быть использована в данном профиле.

Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем.

Наборы алгоритмов шифрования

Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:

  • TLS AES 128 CCM SHA256

  • TLS AES 128 GCM SHA256

  • TLS AES 256 GCM SHA384

  • TLS CHACHA20 POLY1305 SHA256

  • TLS DHE DSS with 3DES EDE CBC SHA

  • TLS DHE DSS with AES 128 CBC SHA

  • TLS DHE DSS with AES 128 CBC SHA256

  • TLS DHE DSS with AES 128 GCM SHA256

  • TLS DHE DSS with AES 256 CBC SHA

  • TLS DHE DSS with AES 256 CBC SHA256

  • TLS DHE DSS with AES 256 GCM SHA384

  • TLS DHE RSA with 3DES EDE CBC SHA

  • TLS DHE RSA with AES 128 CBC SHA

  • TLS DHE RSA with AES 128 CBC SHA256

  • TLS DHE RSA with AES 128 GCM SHA256

  • TLS DHE RSA with AES 256 CBC SHA

  • TLS DHE RSA with AES 256 CBC SHA256

  • TLS DHE RSA with AES 256 GCM SHA384

  • TLS DHE RSA with CHACHA20 POLY1305 SHA256

  • TLS DHE RSA with DES CBC SHA

  • TLS ECDHE ECDSA with 3DES EDE CBC SHA

  • TLS ECDHE ECDSA with AES 128 CBC SHA

  • TLS ECDHE ECDSA with AES 128 CBC SHA256

  • TLS ECDHE ECDSA with AES 128 GCM SHA256

  • TLS ECDHE ECDSA with AES 256 CBC SHA

  • TLS ECDHE ECDSA with AES 256 CBC SHA384

  • TLS ECDHE ECDSA with AES 256 GCM SHA384

  • TLS ECDHE ECDSA with CHACHA20 POLY1305 SHA256

  • TLS ECDHE ECDSA with RC4 128 SHA

  • TLS ECDHE RSA with 3DES EDE CBC SHA

  • TLS ECDHE RSA with AES 128 CBC SHA

  • TLS ECDHE RSA with AES 128 CBC SHA256

  • TLS ECDHE RSA with AES 128 GCM SHA256

  • TLS ECDHE RSA with AES 256 CBC SHA

  • TLS ECDHE RSA with AES 256 CBC SHA384

  • TLS ECDHE RSA with AES 256 GCM SHA384

  • TLS ECDHE RSA with CHACHA20 POLY1305 SHA256

  • TLS ECDHE RSA with RC4 128 SHA

  • TLS ECDH ECDSA with 3DES EDE CBC SHA

  • TLS ECDH ECDSA with AES 128 CBC SHA

  • TLS ECDH ECDSA with AES 128 CBC SHA256

  • TLS ECDH ECDSA with AES 128 GCM SHA256

  • TLS ECDH ECDSA with AES 256 CBC SHA

  • TLS ECDH ECDSA with AES 256 CBC SHA384

  • TLS ECDH ECDSA with AES 256 GCM SHA384

  • TLS ECDH ECDSA with RC4 128 SHA

  • TLS ECDH RSA with 3DES EDE CBC SHA

  • TLS ECDH RSA with AES 128 CBC SHA

  • TLS ECDH RSA with AES 128 CBC SHA256

  • TLS ECDH RSA with AES 128 GCM SHA256

  • TLS ECDH RSA with AES 256 CBC SHA

  • TLS ECDH RSA with AES 256 CBC SHA384

  • TLS ECDH RSA with AES 256 GCM SHA384

  • TLS ECDH RSA with RC4 128 SHA

  • TLS GOST2012256 with 28147 CNT IMIT

  • TLS GOSTR341001 with 28147 CNT IMIT

  • TLS RSA PSK with 3DES EDE CBC SHA

  • TLS RSA PSK with AES 128 CBC SHA

  • TLS RSA PSK with AES 128 CBC SHA256

  • TLS RSA PSK with AES 128 GCM SHA256

  • TLS RSA PSK with AES 256 CBC SHA

  • TLS RSA PSK with AES 256 CBC SHA384

  • TLS RSA PSK with AES 256 GCM SHA384

  • TLS RSA PSK with RC4 128 SHA

  • TLS RSA with 3DES EDE CBC SHA

  • TLS RSA with AES 128 CBC SHA

  • TLS RSA with AES 128 CBC SHA256

  • TLS RSA with AES 128 GCM SHA256

  • TLS RSA with AES 256 CBC SHA

  • TLS RSA with AES 256 CBC SHA256

  • TLS RSA with AES 256 GCM SHA384

  • TLS RSA with DES CBC SHA

  • TLS RSA with RC4 128 MD5

  • TLS RSA with RC4 128 SHA

  • TLS SRP DSS with 3DES EDE CBC SHA

  • TLS SRP DSS with AES 128 CBC SHA

  • TLS SRP DSS with AES 256 CBC SHA

  • TLS SRP RSA with 3DES EDE CBC SHA

  • TLS SRP RSA with AES 128 CBC SHA

  • TLS SRP RSA with AES 256 CBC SHA

Установка алгоритмов шифрования для стандартных протоколов

Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS.

По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:

Наименование

Описание

Default SSL profile

Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:

  • Правилах инспектирования трафика SSL.

  • Для страницы авторизации Captive-портала.

  • Для страницы блокировки.

  • В веб-портале.

Default SSL profile (TLSv1.3)

Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется.

Default SSL profile (GOST)

Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется.

Default SSL profile (web console)

Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль.

Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль!