Distribuire il certificato CA di Sophos Firewall per l'ispezione TLS
Quando un Sophos Firewall decripta le connessioni HTTPS tramite ispezione TLS o scansione HTTPS, il firewall crea un nuovo certificato per la connessione ispezionata e lo firma con una CA locale. I client devono fidarsi di questa CA, altrimenti appariranno avvisi del browser o le applicazioni interromperanno la connessione.
In Sophos Firewall è presente di default la CA integrata SecurityAppliance_SSL_CA. Questa CA può essere scaricata sotto Certificates > Certificate authorities e distribuita ai client gestiti.
L’articolo Implementare correttamente l’ispezione TLS di Sophos Firewall descrive l’intero rollout. Questa guida si concentra sulla distribuzione del certificato CA su Windows, macOS e Firefox.
Cosa fa questo certificato
Il certificato CA di Sophos Firewall non è un certificato server per WebAdmin, WAF o VPN Portal. È la base di fiducia con cui i client accettano le connessioni HTTPS nuovamente firmate dal firewall.
È importante la separazione:
- Firewall CA: firma i certificati generati durante l’ispezione TLS.
- Client Trust Store: decide se i browser e le applicazioni si fidano di questa CA.
- SSL/TLS Inspection Rule: decide quale traffico viene decriptato.
- Decryption Profile: stabilisce quanto rigorosamente vengono trattati i certificati, le versioni TLS e gli errori.
- Exclusion List: impedisce la decriptazione per obiettivi problematici o volutamente esclusi.
La sola distribuzione della CA non attiva l’ispezione TLS. La distribuzione impedisce solo che i client gestiti mostrino avvisi di certificato per il traffico HTTPS decriptato. Se il traffico viene effettivamente decriptato dipende dalle regole del firewall, dalla politica web, dalle regole di ispezione SSL/TLS, dai profili di decriptazione e dalle eccezioni.
Prima del rollout
Prima della distribuzione, dovrebbe essere chiaro quali client utilizzeranno l’ispezione TLS. Un certificato CA non dovrebbe essere distribuito indiscriminatamente su ogni dispositivo, ma mirato ai client aziendali gestiti.
Preparazione:
- Definire un gruppo di test o un’unità organizzativa di test.
- Documentare il processo di rollback e di eccezione.
- Scaricare il certificato CA solo dal proprio firewall.
- Testare la distribuzione su pochi dispositivi.
- Verificare browser, applicazioni aziendali e aggiornamenti dopo la distribuzione.
- Rimuovere i certificati CA vecchi o non più utilizzati dal Client Trust Store.
⚠️ Attenzione: Se la CA o la chiave privata sono state compromesse, una nuova distribuzione non è sufficiente. In tal caso, la CA deve essere rigenerata sul firewall, ridistribuita e la vecchia CA rimossa dai client.
Scegliere il metodo di distribuzione
Il metodo di distribuzione corretto dipende da come vengono gestiti i dispositivi.
- Client Windows di dominio: GPO in
Trusted Root Certification Authorities. pulito per ambienti Active Directory classici. - Windows senza dominio: MDM, Intune o importazione locale. importazione locale solo per test o dispositivi singoli.
- macOS: Profilo MDM o portachiavi
System. installazione manuale solo per test o piccoli ambienti. - Firefox: Utilizzare il Trust Store di Windows o le Mozilla Enterprise Policies. il comportamento di Firefox deve essere verificato separatamente.
- BYOD o dispositivi privati: normalmente non distribuire. l’ispezione TLS appartiene ai dispositivi aziendali gestiti.
- Server: solo per carichi di lavoro server consapevolmente ispezionati. il traffico server in uscita può avere altri rischi ed eccezioni.
Per l’operatività produttiva è fondamentale che lo stesso rollout possa essere successivamente ritirato. Chi distribuisce la CA tramite GPO, MDM o Policy dovrebbe quindi anche testare la rimozione della vecchia CA.
Scaricare la CA di Sophos Firewall
Sul Sophos Firewall, il certificato viene scaricato dall’interfaccia web:
- Accedere come amministratore al Sophos Firewall.
- Aprire Certificates > Certificate authorities.
- Cercare la CA
SecurityAppliance_SSL_CA. - Scaricare il certificato tramite l’icona di download.

Il certificato sarà solitamente disponibile come SecurityAppliance_SSL_CA.pem. Questo file contiene la parte pubblica della CA e può essere distribuito ai client. La chiave privata non deve essere distribuita ai client.
Il file dovrebbe essere trattato come un elemento di configurazione rilevante per la sicurezza. La parte pubblica non è una password, ma definisce a quale CA i client si fideranno in futuro. Pertanto, il file dovrebbe provenire dal proprio firewall produttivo, essere versionato o almeno tracciabile e non essere riutilizzato da vecchi progetti.
Distribuire il certificato su Windows tramite GPO
Negli ambienti Active Directory, una policy di gruppo è il modo più pulito. Edge, Chrome e molte applicazioni Windows si fidano del certificato di Windows.
Percorso consigliato nella gestione delle policy di gruppo:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates
Procedura:
- Aprire la gestione delle policy di gruppo su un Domain Controller o client amministrativo.
- Utilizzare una GPO esistente per la baseline dei client o creare una nuova GPO per il gruppo di test dell’ispezione TLS.
- Passare al percorso Trusted Root Certification Authorities > Certificates.
- Fare clic con il tasto destro nell’elenco dei certificati.
- Selezionare All Tasks > Import.
- Importare
SecurityAppliance_SSL_CA.pem. - Collegare la GPO solo con l’OU o il gruppo di sicurezza desiderato.
- Eseguire
gpupdate /forcesu un client di test o attendere l’aggiornamento regolare.

Per ambienti produttivi, la GPO non dovrebbe essere applicata direttamente a tutti i computer. Un’OU di test riduce il rischio se un certificato è stato importato erroneamente o un’applicazione reagisce inaspettatamente.
Installare localmente il certificato su Windows
Per singoli dispositivi di test, il certificato può essere importato localmente. Ci sono due varianti sensate:
- Local Computer Store: valido per tutti gli utenti sul dispositivo ed è solitamente corretto per i client gestiti.
- Current User Store: valido solo per l’utente connesso ed è a volte sufficiente per i test.
Per il computer locale:
- Accedere come amministratore locale.
- Avviare
certlm.msc. - Aprire Trusted Root Certification Authorities > Certificates.
- Fare clic con il tasto destro nell’elenco dei certificati.
- Selezionare All Tasks > Import.
- Importare
SecurityAppliance_SSL_CA.pem.
Per l’utente corrente, può essere utilizzato alternativamente certmgr.msc.

Dopo l’importazione, i browser e le applicazioni dovrebbero essere riavviati. Per alcune applicazioni, è utile una disconnessione o un riavvio del client.
Fidarsi del certificato nel portachiavi di macOS
Su macOS, il certificato viene importato tramite la gestione del portachiavi.
Procedura:
- Copiare
SecurityAppliance_SSL_CA.pemsul Mac. - Aprire il certificato con un doppio clic.
- Fornire nel portachiavi System o in un profilo MDM gestito.
- Aprire il certificato e impostare Always Trust sotto Trust.
- Confermare la modifica con un account amministrativo.
- Riavviare browser e applicazioni interessate.

In ambienti macOS più grandi, la distribuzione dovrebbe avvenire tramite MDM. L’installazione manuale è più adatta per test o dispositivi singoli.
Verificare il certificato sui dispositivi gestiti
Dopo la distribuzione, si dovrebbe verificare su almeno un dispositivo di test per piattaforma se la CA è effettivamente finita nel Trust Store corretto.
- Windows Computer Store: Aprire
certlm.msce cercare sotto Trusted Root Certification Authorities > Certificates. - Windows Current User Store: Aprire
certmgr.msce controllare il Trust Store dell’utente. - macOS: Aprire la gestione del portachiavi e controllare lo stato di fiducia nel portachiavi System.
- Firefox: Aprire Settings > Privacy & Security > Certificates > View Certificates.
Se un certificato si trova solo nel Trust Store dell’utente, ma un’applicazione si aspetta il Trust Store del computer, il browser potrebbe funzionare e un’altra applicazione potrebbe comunque mostrare errori di certificato. Al contrario, i browser con un proprio Trust Store possono ignorare la distribuzione di Windows o macOS se non sono configurati di conseguenza.
Firefox su Windows
Firefox può utilizzare, a seconda della configurazione, propri archivi di certificati. Negli ambienti Windows ci sono due modi comuni:
- Configurare Firefox per utilizzare le Root CA di Windows.
- Distribuire i certificati tramite le Mozilla Enterprise Policies.
La seconda variante è utile in ambienti in cui Firefox è gestito centralmente tramite GPO.
Scaricare i modelli GPO di Firefox
Mozilla fornisce i modelli di policy su GitHub. Sono necessari, tra gli altri:
firefox.admxmozilla.admxfirefox.admlmozilla.adml
I file possono essere scaricati dal Mozilla Policy Templates Repository o come policy_templates.zip.

Importare i modelli
I file ADMX e ADML vengono copiati nel percorso centrale PolicyDefinitions.
Percorso locale tipico:
C:\Windows\PolicyDefinitions
In un Central Store nel dominio, viene invece utilizzata la cartella PolicyDefinitions sotto SYSVOL.

Configurare la policy di Firefox
Nella policy di gruppo, il certificato viene quindi inserito sotto le policy di Firefox:
Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates
Procedura:
- Attivare la policy Install Certificates.
- Inserire il nome del file del certificato, ad esempio
SecurityAppliance_SSL_CA.pem. - Copiare il file del certificato tramite GPO o distribuzione software nella directory del profilo utente prevista.

A seconda della versione di Firefox e della configurazione delle policy, i certificati vengono letti da queste directory:
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
Dopo la prossima sessione di Firefox, il certificato dovrebbe essere visibile nella gestione dei certificati di Firefox.

Mozilla documenta percorsi e varianti aggiuntive nel Wiki: Aggiungere un certificato radice a Firefox.
Verificare il funzionamento
Dopo la distribuzione, non si dovrebbe solo verificare se il certificato è presente. È fondamentale verificare se l’ispezione TLS funziona correttamente.
Test sensati:
- Riavviare il client di test o riconnettere l’utente.
- Aprire il browser e accedere a una pagina HTTPS decriptata dal Sophos Firewall.
- Visualizzare il certificato del sito web nel browser.
- Verificare se la catena di certificati passa attraverso
SecurityAppliance_SSL_CAo esattamente la CA Sophos scelta. - Verificare nel Log Viewer > SSL/TLS inspection del firewall se il traffico viene visualizzato come decriptato e quale Rule o azione è stata applicata.
- Testare applicazioni aziendali importanti, servizi di aggiornamento, strumenti di collaborazione e provider di identità.
Se l’avviso del browser scompare, ma le applicazioni continuano a mostrare errori, il problema spesso non è nel certificato stesso. Spesso sono il Certificate Pinning, le eccezioni TLS mancanti, un profilo di decriptazione errato o una regola di ispezione SSL/TLS inadeguata la causa.
Se il browser continua a mostrare il certificato pubblico originale del sito, questa connessione non è stata decriptata. In tal caso non si applica una SSL/TLS Inspection Rule adeguata, un’eccezione ha priorità, il traffico prende un altro percorso oppure QUIC/HTTP/3 evita il percorso TCP atteso.
Per il traffico web, dovrebbe essere inoltre verificato se QUIC o HTTP/3 aggirano l’ispezione prevista. L’articolo Bloccare correttamente QUIC e HTTP/3 su Sophos Firewall spiega perché Block QUIC protocol rimane rilevante per il filtraggio web, la scansione malware e l’ispezione TLS.
Errori tipici
- Il browser continua a mostrare avvisi di certificato: CA non nel Trust Store corretto. Verificare il certificato di Windows/macOS/Firefox.
- La CA è installata, ma l’avviso resta: La CA distribuita potrebbe non corrispondere alla CA nel Decryption Profile, negli SSL/TLS inspection settings o in Web General settings.
- DPI funziona, Web Proxy no o viceversa: I due percorsi possono essere configurati diversamente. Verificare CA scelta, percorso regola e Log Viewer per ogni modalità.
- Chrome funziona, Firefox no: Firefox utilizza un proprio Trust Store. Verificare le policy di Firefox o la gestione dei certificati di Firefox.
- Alcune applicazioni si interrompono: Certificate Pinning o verifica del certificato propria. Verificare il Log Viewer dell’ispezione TLS e le eccezioni.
- Solo alcuni client funzionano: La GPO non si applica o OU errata. Verificare
gpresulte il collegamento GPO. - Dopo la rigenerazione della CA ci sono avvisi: vecchia CA ancora sui client o nuova CA mancante. rimuovere la vecchia CA, distribuire la nuova CA.
- I feed URL o il filtro web non funzionano come previsto: Il percorso HTTPS non viene decriptato. Verificare l’ispezione TLS e la politica web.
- Il certificato è presente, ma il traffico non viene decriptato: Nessuna regola di ispezione SSL/TLS adatta o percorso DPI/Web-Proxy errato. Verificare il rollout TLS, la regola del firewall e il Log Viewer.
- Solo le app mobili o alcuni client si interrompono: Trust Store proprio, Certificate Pinning o verifica app-specifica. In particolare traffico Android e Mobile App dovrebbe essere testato in modo mirato ed escluso se necessario, invece di distribuire la CA in modo ampio e cieco.
Rotazione della CA e emergenza
Una CA non dovrebbe essere gestita inosservata per anni senza che la data di scadenza, l’origine e la distribuzione siano noti. Per ambienti produttivi dovrebbe esserci un piccolo processo di ciclo di vita.
Cambio pianificato:
- Preparare una nuova CA o una nuova CA del firewall.
- Distribuire la nuova CA a un gruppo di test.
- Verificare l’ispezione TLS con il gruppo di test.
- Distribuire la nuova CA a tutti i dispositivi gestiti interessati.
- Controllare le regole del firewall e i profili di decriptazione.
- Rimuovere la vecchia CA solo quando tutti i dispositivi produttivi hanno ricevuto la nuova CA.
Emergenza in caso di compromissione:
- Limitare o disattivare temporaneamente l’ispezione TLS se necessario.
- Sostituire la CA compromessa sul firewall.
- Distribuire la nuova CA tramite il percorso di distribuzione definito.
- Rimuovere la vecchia CA da tutti i Trust Store.
- Verificare eccezioni, Log Viewer e applicazioni interessate.
- Documentare la modifica nel sistema di incident o change.
Importante: Una CA compromessa non è un normale problema di certificato. Se un attaccante controlla la chiave privata, i client possono fidarsi di certificati falsi. In tal caso, la vecchia CA deve essere rimossa in modo coerente.
Operatività e manutenzione
Il certificato CA dovrebbe far parte del processo operativo:
- Documentare la data di scadenza e i responsabili.
- Rigenerare la CA solo pianificata.
- Rimuovere la vecchia CA dai client dopo la migrazione.
- Verificare regolarmente la distribuzione tramite GPO o MDM.
- Documentare e rivedere periodicamente le eccezioni TLS.
- Rigenerare la CA in caso di perdita del dispositivo o compromissione della CA.
In caso di modifica all’ispezione TLS, si dovrebbero anche verificare le regole del firewall, i profili di decriptazione e le liste di esclusione interessate. Altrimenti, il client si fida della CA, ma il firewall non decripta comunque il traffico desiderato.