Sophos Firewall TLS-inspectie correct implementeren
Een groot deel van het huidige webverkeer is versleuteld. Zonder TLS-inspectie ziet de firewall vaak alleen het doel-IP, SNI, certificaatinformatie en metadata, maar niet de eigenlijke inhoud van de verbinding.
Dit is een beveiligingsprobleem: veel beschermingsfuncties kunnen de versleutelde payload niet of slechts beperkt controleren. Malware-scanning, webbescherming, zero-day-analyse, content-scanning en delen van applicatie- of dreigingsdetectie worden pas echt effectief wanneer de firewall het TLS-verkeer kan ontsleutelen, controleren en vervolgens weer versleutelen. Ook IPS en NDR profiteren van meer zichtbaarheid in platte tekst. Zonder ontsleuteling blijven veel signalen beperkt tot metadata, certificaten, IP’s, domeinen of protocolinformatie.
TLS-inspectie is echter geen functie die je onvoorbereid voor alle gebruikers moet activeren. Het kan applicaties verstoren, privacykwesties raken en de firewall zwaarder belasten. Daarom moet TLS-inspectie gepland, stapsgewijs en met een duidelijke uitzonderingsstrategie worden geïmplementeerd.
Oriëntatie
Begin met de vraag welke beveiligings- of configuratiemethode bij de situatie past. Zo voorkom je te brede regels en dubbel troubleshootingwerk.
Licentie en vereisten
Voor TLS-inspectie en de zinvolle evaluatie van het ontsleutelde verkeer zijn de juiste beschermingslicenties nodig.
Belangrijk zijn vooral:
- Web Protection: Bevat webbeveiliging, webcontrole, applicatiecontrole en webmalwarebescherming.
- Network Protection: Bevat onder andere IPS, Security Heartbeat en andere netwerkbeschermingsfuncties.
- Zero-Day Protection: Wordt belangrijk wanneer bestanden of downloads aanvullend via machine learning of sandbox moeten worden geanalyseerd.
Web Protection is opgenomen in het licentiepakket Standard Protection. Xstream Protection en Epic Protection bevatten ook Web Protection en andere beschermingsmodules. Voor de indeling van de pakketten zie Welke Sophos Firewall Bundles zijn er?; voor basislicentie, ondersteuningsstatus en abonnementen zie Sophos Firewall Base License begrijpen.
Voor de uitrol moet je controleren:
- De huidige Sophos Firewall-firmware is geïnstalleerd.
- Web Protection is gelicentieerd.
- CA-certificaat van de firewall is op de clients verspreid.
- Testgroep of testnetwerk is gedefinieerd.
- Rollback is gedocumenteerd.
- Uitzonderingsproces is duidelijk.
- Logging is geactiveerd.
Als het CA-certificaat nog niet is verspreid, helpt het artikel Sophos Firewall CA-certificaat voor HTTPS-scanning installeren.
⚠️ TLS-inspectie kan applicaties verstoren die Certificate Pinning gebruiken of eigen certificaatcontroles uitvoeren. De uitrol moet altijd beginnen met een testgroep en niet direct met alle gebruikers.
DPI of Web Proxy?
De Sophos Firewall kan HTTPS-decryptie in twee modi uitvoeren:
- DPI Mode: De firewallregel gebruikt de DPI-engine. SSL/TLS-inspectieregels onder Rules and policies > SSL/TLS inspection rules bepalen wat wordt ontsleuteld.
- Web Proxy Mode: De firewallregel gebruikt de Web Proxy. HTTPS-decryptie wordt dan via de webproxy-instellingen en webbeleid geregeld.
Voor moderne setups wordt vaak DPI Mode gebruikt. Belangrijk is daarbij de firewallregel:
- Open Rules and policies > Firewall rules.
- Bewerk de betreffende LAN-to-WAN-regel.
- Open Security features > Web filtering.
- Activeer het juiste webbeleid.
- Activeer Scan HTTP and decrypted HTTPS.
- Laat Use web proxy instead of DPI engine gedeactiveerd als de SSL/TLS-inspectieregels van toepassing moeten zijn.
Als Use web proxy instead of DPI engine is geactiveerd, loopt webverkeer via de Web Proxy. Dan gelden voor HTTP/HTTPS andere decryptie-instellingen dan bij DPI-gebaseerde SSL/TLS-inspectieregels. Voor de uitrol moet daarom duidelijk zijn of de omgeving Web Proxy of DPI gebruikt, anders zoek je later uitzonderingen op de verkeerde plek.
Welke verkeer moet je ontsleutelen?
Je moet niet blind alles ontsleutelen. Goede TLS-inspectie begint met duidelijke doelen.
Zinvolle eerste doelen:
- LAN > WAN: klassiek gebruikers-webverkeer naar het internet.
- Wi-Fi > WAN: beheerde clients in het bedrijfs-WLAN.
- VPN > WAN: Remote-access-gebruikers, wanneer hun internetverkeer via de firewall loopt.
- LAN > DMZ: interne toegang tot eigen servers, wanneer daar beveiligingscontrole gewenst is en certificaten correct zijn verspreid.
Met voorzichtigheid behandelen:
- Banken, gezondheidszorg, overheden en zeer gevoelige portalen.
- Wachtwoordmanagers en identity-providers.
- Besturingssysteem- en fabrikant-update-diensten.
- Mobiele apps en Android-apparaten.
- Applicaties met Certificate Pinning.
- Voice-, video- en samenwerkingsdiensten, als ze door decryptie instabiel worden.
Voor serverpublicaties vanuit het internet naar de DMZ is TLS-inspectie niet automatisch de beste oplossing. Bij webservers is vaak Web Server Protection / WAF of een reverse proxy zinvoller.
QUIC en Web Policy overwegen
Als webverkeer ondanks TLS-inspectie niet zoals verwacht wordt gecontroleerd, moet je ook QUIC of HTTP/3 controleren. Veel browsers kunnen HTTPS-verbindingen via UDP 443 opzetten. Afhankelijk van het regel- en webbeleidontwerp loopt het verkeer dan niet via het verwachte klassieke HTTPS-pad over TCP 443.
In client-internetregels moet daarom bewust worden gecontroleerd:
- Is het juiste webbeleid actief?
- Is Block QUIC protocol in de daadwerkelijk matchende firewallregel actief?
- Is Scan HTTP and decrypted HTTPS passend bij de decryptiestrategie ingesteld?
- Gebruikt de regel DPI of Web Proxy?
- Zie je in de Log Viewer UDP
443, TCP443, webbeleid-events en SSL/TLS-inspectie-events consistent?
De procedure voor het blokkeren van QUIC staat in Sophos Firewall QUIC en HTTP/3 correct blokkeren. Voor het webbeleid zelf zie Sophos Firewall Web Protection Policy maken.
Rollout plannen
TLS Inspection moet gefaseerd worden ingevoerd zodat uitzonderingen, clientcertificaten en supportcases beheersbaar blijven.
Rollout-strategie
Een stapsgewijze aanpak heeft zich bewezen:
- CA-certificaat verspreiden.
- Webbeleid en firewallregel voorbereiden.
- Decryptieprofiel selecteren.
- Kleine testgroep definiëren.
- SSL/TLS-inspectieregel alleen voor deze groep activeren.
- Control Center en Log Viewer observeren.
- Fouten analyseren en uitzonderingen goed documenteren.
- Geleidelijk uitbreiden naar andere gebruikersgroepen.
Zo herken je vroeg welke applicaties problemen veroorzaken, zonder de gehele operatie te beïnvloeden.
Rollout-fasen plannen
Een TLS-inspectie-uitrol moet in fasen worden gepland. Hierdoor blijft het beheersbaar en kun je technische fouten van acceptatie- of applicatieproblemen scheiden.
- Voorbereiding: CA, webbeleid, firewallregel en testgroep zijn klaar. CA-verspreiding, licentie, logging, rollback
- Pilot: enkele beheerde clients testen de productieve dagelijkse gang van zaken. Log Viewer, Dashboard Widget, gebruikersfeedback
- Uitbreiding: meer gebruikersgroepen of netwerken betrekken. Uitzonderingen documenteren, prestaties observeren
- Bedrijf: TLS-inspectie wordt regelmatig gecontroleerd. Review van uitzonderingen, rapporten, fouten en nieuwe applicaties
Belangrijk is dat elke fase een duidelijk afbreekpunt heeft. Als een bedrijfskritische applicatie in de pilot faalt, moet niet meteen een brede wereldwijde uitzondering worden ingesteld. Beter is een grondige analyse: welke domein, welke client, welke regel, welk decryptieprofiel en welke fout in de Log Viewer zijn betrokken?
Pilot, eigenaar en uitzonderingsproces vaststellen
Voor de eerste productieve uitrol moet duidelijk zijn wie de testgroep beheert, wie uitzonderingen goedkeurt en hoe fouten worden gerapporteerd. TLS-inspectie genereert anders snel ongeordende uitzonderingen: individuele domeinen worden haastig op Don't decrypt gezet, zonder dat later nog duidelijk is waarom de uitzondering bestaat.
Voor de operatie moeten deze punten gedocumenteerd zijn:
- Pilotgroep, betrokken netwerken en periode.
- Eigenaar voor webbeleid, decryptieprofiel en SSL/TLS-inspectieregels.
- Proces voor nieuwe uitzonderingen met reden, ticket en reviewdatum.
- Criteria, wanneer een applicatie wordt uitgesloten en wanneer eerst de oorzaak wordt onderzocht.
- Plaats waar Log Viewer, Dashboard Widget en gebruikersfeedback worden verzameld.
- Rollback, als bedrijfskritische applicaties worden verstoord.
Bijzonder belangrijk is de scheiding tussen technische uitzondering en permanente veiligheidsbeslissing. Een tijdelijke uitzondering kan zinvol zijn, zodat een dienst weer functioneert. Deze uitzondering moet echter later opnieuw worden beoordeeld zodra oorzaak, risico en alternatief duidelijk zijn.
Rollback vóór de rollout testen
Een rollback mag niet pas tijdens een storing worden bedacht. Vóór de pilot moet duidelijk zijn hoe TLS Inspection voor de testgroep wordt teruggenomen zonder andere regels, Web Policies of uitzonderingen door elkaar te halen.
Praktische rollback-controle:
- Testgroep verwijderen: controleren of de SSL/TLS Inspection Rule daarna niet meer matcht voor de pilotclient.
- Rule deactiveren: controleren of het verkeer weer via het verwachte pad zonder decryption loopt.
- Uitzondering testen: een gerichte
Don't decrypt-regel moet boven de algemene Decrypt-regel staan en zichtbaar in de Log Viewer matchen. - Web Policy behouden: rollback van de ontsleuteling mag niet per ongeluk webfiltering, malware scanning of logging verwijderen.
- Bewijs documenteren: testclient, doeldomein, regelnaam, logevent en tijdstip vastleggen.
Deze test is vooral belangrijk wanneer meerdere admins aan Web Policies, firewallregels en SSL/TLS Inspection Rules werken. Een schone rollback neemt alleen de betrokken scope terug en maakt niet de hele Web Protection-keten blind.
Configuratie
De configuratie moet gericht, testbaar en later eenvoudig te controleren zijn.
Decryptieprofielen begrijpen
Een Decryptieprofiel bepaalt hoe streng de firewall met TLS-verbindingen omgaat. De profielen zijn te vinden onder Profiles > Decryption profiles.
Een decryptieprofiel beantwoordt onder andere deze vragen:
- Wat gebeurt er bij ongeldige of niet-vertrouwde certificaten?
- Worden oude TLS-versies geblokkeerd?
- Worden onveilige cipher suites geblokkeerd?
- Wat gebeurt er bij SSL-compressie?
- Wat gebeurt er bij niet-herkende cipher suites?
- Wat gebeurt er als de firewall een verbinding niet kan ontsleutelen?
- Welke CA wordt gebruikt voor de hernieuwde ondertekening?
Voor een eerste uitrol is een compatibeler profiel zinvol, bijvoorbeeld Maximum compatibility of een eigen conservatief profiel. Voor productieve veiligheidsregels kan later een strenger profiel zoals Block insecure SSL worden gebruikt.
Belangrijk: Het decryptieprofiel wordt direct in de SSL/TLS-inspectieregel geselecteerd. Het profiel kan de globale SSL/TLS-inspectie-instellingen voor deze regel overschrijven. Daarom moet je bij het oplossen van problemen altijd de specifieke regel en niet alleen de globale instellingen controleren.
SSL/TLS-inspectieregel maken
Het menupad is Rules and policies > SSL/TLS inspection rules.
Een eerste regel moet zo gericht mogelijk zijn:
- Actie: Decrypt
- Decryptieprofiel: conservatief testprofiel
- Bronzones:
LANof testnetwerk - Bronnetwerken en apparaten: testgroep of testsubnet
- Bestemmingszones: meestal
WAN - Bestemmingsnetwerken: aanvankelijk
Any - Services: voor de start vaak
Any, omdat SSL/TLS ook op andere TCP-poorten kan worden herkend - Websites / Categorieën: optioneel beperken
SSL/TLS-inspectieregels kunnen TLS-verbindingen ook buiten de klassieke HTTPS-poort herkennen. De regels worden van boven naar beneden verwerkt. Specifieke uitzonderingen en pilotregels horen daarom boven algemene decryptieregels, anders is later moeilijk te achterhalen waarom een verbinding werd ontsleuteld of uitgesloten.
Uitsluitingslijsten
Niet al het TLS-verkeer moet worden ontsleuteld. Sophos werkt hiervoor met uitsluitingsregels en TLS-uitsluitingslijsten.
Lokale TLS-uitsluitingslijst
De Local TLS exclusion list is de lokale uitsluitingslijst van de firewall. Deze lijst is standaard leeg en kan worden gevuld door troubleshooting in het Control Center of Log Viewer.
Je kunt deze ook handmatig bewerken:
Web > URL groups > Local TLS exclusion list
Deze lijst is nuttig voor domeinen die in de eigen omgeving problemen veroorzaken, bijvoorbeeld vanwege Certificate Pinning of speciale clientapplicaties.
Beheerde TLS-uitsluitingslijst
De Managed TLS exclusion list bevat door Sophos beheerde uitzonderingen voor bekende problematische diensten. Deze lijst wordt bijgewerkt via firmware-updates.
Typische voorbeelden zijn diensten waarbij TLS-inspectie volgens ervaring problemen veroorzaakt of technisch niet zinvol is.
Eigen uitsluitingsregels
Daarnaast kun je eigen SSL/TLS-inspectieregels maken met Action > Don’t decrypt. Deze moeten direct onder de standaarduitsluitingsregel staan en alleen verkeer bevatten dat echt niet moet worden ontsleuteld.
Mogelijke criteria:
- Webcategorieën
- URL-groepen
- Gebruikers en groepen
- Bron- en bestemmingsnetwerken
- IP-adressen
- Services
Uitzonderingen moeten worden gedocumenteerd: domein, reden, betrokken gebruikers, datum en reviewdatum.
Controle en analyse
Na activering laten dashboard en Log Viewer zien of verkeer daadwerkelijk wordt ontsleuteld of uitgesloten.
Dashboard Widget observeren
In het Control Center is er een widget voor SSL/TLS-inspectie. Deze widget is zeer nuttig om de uitrol en fouten te monitoren.
Het toont onder andere:
- Aandeel ontsleutelde SSL/TLS-sessies.
- Aandeel niet-ontsleutelde SSL/TLS-sessies.
- Overig verkeer.
- Fouten van de laatste dagen.
- Top-websites of top-gebruikers met problemen.
- Decryptie piek en decryptie limiet.

Als er veel fouten in de widget verschijnen, moet je niet meteen de gehele TLS-inspectie uitschakelen. Beter is het om via Fix errors gericht de getroffen doelen te controleren en indien nodig schone uitzonderingen te maken.
Log Viewer evalueren
In de Log Viewer kun je het filter SSL/TLS inspection selecteren. Daar zie je wat er met individuele verbindingen is gebeurd.

De kleuren helpen bij de eerste beoordeling:
- Rood: Fout. De verbinding kon niet correct worden ontsleuteld of verwerkt. Hier moet je certificaatfouten, cipher suites, TLS-versies of incompatibele applicaties controleren.
- Groen: Niet ontsleutelen. De verbinding werd bewust niet ontsleuteld, bijvoorbeeld vanwege een uitsluitingsregel of een TLS-uitsluitingslijst.
- Blauw: Ontsleutelen. De verbinding werd ontsleuteld en vervolgens weer versleuteld doorgestuurd.
In de log zie je bovendien decryptieprofiel, bron-IP, doel-IP, gebruiker, categorie en doeldomein. Hiermee kun je controleren of de juiste regel matched en of een uitzondering echt van toepassing is.
Tests
Na activering van de TLS-inspectie moet je controleren:
- Wordt het Sophos CA-certificaat in de browser gebruikt?
- Werken belangrijke zakelijke applicaties?
- Zijn er TLS-fouten in de Log Viewer?
- Worden malware- of webbeleid-events correct herkend?
- Wordt het verkeer in het Control Center-widget als ontsleuteld weergegeven?
- Blijft de firewall-prestatie binnen het verwachte bereik?
- Zijn er klachten van testgebruikers?
Voor het oplossen van problemen zijn vooral Log Viewer, Policy Test, browser-certificaatweergave, Packet Capture en het SSL/TLS-inspectiewidget nuttig.
Troubleshooting en beheer
TLS Inspection-problemen worden meestal opgelost met duidelijke uitzonderingen, gecontroleerde rollback en regelmatige review.
Typische fouten
- Browser toont certificaatwaarschuwing: CA ontbreekt in de Trust Store of verkeerde CA wordt gebruikt. CA-verspreiding, certificaatketen in de browser, client-herstart
- Log Viewer toont geen SSL/TLS-inspectie-events: verkeerde modus, geen passende regel of SSL/TLS-engine niet actief. Firewall-regel, DPI/Web Proxy, SSL/TLS-inspectieregel
- Verkeer wordt toegestaan, maar niet ontsleuteld:
Don't decryptregel, beheerde uitsluiting of verkeerde regelvolgorde. SSL/TLS-inspectieregels van boven naar beneden controleren - Webfilter werkt niet zoals verwacht: Webbeleid ontbreekt, QUIC actief of
Scan HTTP and decrypted HTTPSverkeerd begrepen. matchende firewallregel, QUIC, webbeleid-log - Individuele applicaties vallen uit: Certificate Pinning, oude TLS-versie, incompatibele cipher suite of eigen certificaatcontrole. Log Viewer, decryptieprofiel, gerichte uitzondering
- Veel fouten in Dashboard Widget: te brede uitrol of ongeschikt decryptieprofiel. Pilotgroep verkleinen, fouten sorteren op domein en categorie
- Prestaties dalen na activering: te brede scope, grote downloads of te veel gelijktijdige sessies. Decryptiescope, firewallbelasting en topgebruikers controleren
- Uitzondering werkt niet: Uitzondering staat onder een algemenere decryptieregel. Regelvolgorde en matchende criteria controleren
Bij onduidelijke gevallen moet je niet meerdere dingen tegelijk veranderen. Beter is een nauwe testcase: een client, een doeldomein, een firewallregel, een decryptieprofiel en een duidelijk tijdstip in de Log Viewer.
Rollback
Als er verstoringen optreden, moet een duidelijke rollback mogelijk zijn:
- SSL/TLS-inspectieregel deactiveren.
- Testgroep uit de regel verwijderen.
- Decryptieprofiel versoepelen.
- Uitzondering voor getroffen domein of applicatie toevoegen.
- Firewallregel weer op Web Proxy instellen, als dat bewust gewenst is.
SSL/TLS-inspectieregels en de SSL/TLS-engine moeten zichtbaar actief zijn, zodat Control Center en Log Viewer de details weergeven. Als je SSL/TLS-inspectie voor troubleshooting-doeleinden deactiveert, moet je deze daarna weer activeren en de toestand kort documenteren.
Bedrijfsaanbeveling
TLS-inspectie is geen een-klik-project. Correct geïmplementeerd levert het echter aanzienlijk meer zichtbaarheid en verbetert het de effectiviteit van Web Protection, Malware Scanning, IPS, NDR en Zero-Day-functies.
Voor productieve omgevingen raden we aan:
Eerst LAN-to-WAN voor een kleine testgroep.
CA-certificaat correct verspreiden.
DPI/Web Proxy-modus bewust kiezen.
Decryptieprofiel niet te agressief starten.
Log Viewer en Dashboard dagelijks observeren.
Uitzonderingen documenteren en regelmatig controleren.
Pas na succesvolle tests verder uitrollen.
Rollback voor pilotgroep en uitzonderingen getest houden.