Généralités sur le filtrage HTTPS

Contraintes techniques d’un proxy HTTPS

Le filtrage des flux HTTPS nécessite un serveur proxy déclaré explicitement sur les postes. L’usage d’un proxy en mode transparent (utilisé jusqu’à présent pour filtrer les flux HTTP) ne permet pas d’interférer sur les communications sécurisées par le protocole HTTPS.

Aussi le serveur proxy devant être connu et renseigné sur les postes, il est préferrable que celui-ci dispose d’une adresse IP fixe dans le LAN à filtrer.

Déclaration d’un proxy HTTPS sur un poste

Les informations du proxy peuvent être renseignées dans chaque application concernée (par ex. les navigateurs web) et/ou dans la configuration réseau du système d’exploitation (qui centralise l’information et peut ensuite la communiquer aux applications le demandant).

La configuration d’un serveur proxy peut être renseignée de 3 manières:

  • saisie manuelle des paramètres du proxy (adresse, port)

  • saisie uniquement d’une URL vers un fichier d’auto-configuration (PAC = Proxy Auto-Config)

  • détection automatique du proxy sur le réseau local (WPAD = Web Proxy Auto-Discovery)

Conditions pour la découverte automatique (WPAD)

C’est la solution idéale, il y a juste à laisser la détection automatique sur les postes. Mais cela repose sur des informations à indiquer dans les services DNS et/ou DHCP du réseau.

En effet les postes vont chercher par eux-même l’URL d’un fichier PAC à utiliser:

  • soit par DNS en interrogeant une machine répondant au nom “wpad” de votre réseau local

  • soit par DHCP en regardant si le serveur DHCP spécifie une URL dans une option du protocole

À noter que selon les systèmes d’exploitation et les applications proposant la découverte automatique, certains cherchent par le DNS, d’autre le DHCP, mais rarement les deux méthodes. Mettre en place uniquement l’une ou l’autre peut ainsi ne pas être suffisant.

Support logiciel de la configuration automatique (PAC)

Les fichiers PAC sont en réalité des scripts (JS) permettant des configurations avancées de proxy (ex: conditions selon le client ou le site demandé). Malheureusement si les navigateurs web sont généralement capables d’utiliser un fichier PAC, d’autres applications ne savent utiliser qu’un proxy renseigné simplement par adresse et port.

Cette situation peut amener à un dilemme pour la déclaration du proxy au niveau de l’OS:

  • le mode automatique WPAD/PAC, souvent activé par défaut, est le plus simple et le plus complet

  • le mode manuel, en indiquant l’adresse et le port du serveur proxy, demeurre plus largement reconnu

La compatibilité maximale ne pourra s’obtenir que par un nivellement par le bas.