Saltar para o conteudo
Avanet

Distribuir o certificado CA do Sophos Firewall para Inspeção TLS

Quando um Sophos Firewall descriptografa conexões HTTPS através de Inspeção TLS ou Escaneamento HTTPS, o firewall cria um novo certificado para a conexão inspecionada e o assina com uma CA local. Os clientes devem confiar nesta CA, caso contrário, aparecerão avisos no navegador ou os aplicativos interromperão a conexão.

No Sophos Firewall, a CA embutida SecurityAppliance_SSL_CA está disponível por padrão. Esta CA pode ser baixada em Certificates > Certificate authorities e distribuída para clientes gerenciados.

O artigo Implementar corretamente a Inspeção TLS do Sophos Firewall descreve toda a implementação. Este guia concentra-se na distribuição do certificado CA para Windows, macOS e Firefox.

O que este certificado faz

O certificado CA do Sophos Firewall não é um certificado de servidor para WebAdmin, WAF ou Portal VPN. É a base de confiança com a qual os clientes aceitam as conexões HTTPS recém-assinadas pelo firewall.

É importante a separação:

  • CA do Firewall: assina certificados recém-criados durante a Inspeção TLS.
  • Armazenamento de Confiança do Cliente: decide se navegadores e aplicativos confiam nesta CA.
  • Regra de Inspeção SSL/TLS: decide qual tráfego será descriptografado.
  • Perfil de Descriptografia: define quão rigorosamente os certificados, versões TLS e erros são tratados.
  • Lista de Exclusão: impede a descriptografia para destinos problemáticos ou intencionalmente excluídos.

A distribuição da CA por si só não ativa a Inspeção TLS. A distribuição apenas impede que clientes gerenciados exibam avisos de certificado quando o tráfego HTTPS é descriptografado. Se o tráfego será realmente descriptografado depende das regras do firewall, política da web, regras de inspeção SSL/TLS, perfis de descriptografia e exceções.

Antes da implementação

Antes da distribuição, deve estar claro quais clientes devem usar a Inspeção TLS. Um certificado CA não deve ser colocado indiscriminadamente em todos os dispositivos, mas direcionado para clientes corporativos gerenciados.

Preparação:

  • Definir um grupo de teste ou OU de teste.
  • Documentar o processo de rollback e exceção.
  • Baixar o certificado CA apenas do próprio firewall.
  • Testar a distribuição em poucos dispositivos primeiro.
  • Verificar navegadores, aplicativos empresariais e atualizações após a distribuição.
  • Remover certificados CA antigos ou não utilizados do Armazenamento de Confiança do Cliente.

⚠️ Atenção: Se a CA ou a chave privada foi comprometida, uma nova distribuição não é suficiente. A CA deve ser regenerada no firewall, redistribuída e a antiga CA removida dos clientes.

Escolher o método de distribuição

O método de distribuição correto depende de como os dispositivos são gerenciados.

  • Clientes de Domínio Windows: GPO em Trusted Root Certification Authorities. adequado para ambientes clássicos de Active Directory.
  • Windows sem Domínio: MDM, Intune ou importação local. importação local apenas para testes ou dispositivos individuais.
  • macOS: Perfil MDM ou chaveiro System. instalação manual apenas para testes ou pequenos ambientes.
  • Firefox: Usar Armazenamento de Confiança do Windows ou Políticas Empresariais da Mozilla. comportamento do Firefox deve ser verificado separadamente.
  • BYOD ou dispositivos privados: normalmente não distribuir. Inspeção TLS deve estar em dispositivos corporativos gerenciados.
  • Servidores: apenas para cargas de trabalho de servidor intencionalmente inspecionadas. tráfego de saída do servidor pode ter outros riscos e exceções.

Para operação produtiva, é crucial que a mesma implementação possa ser revertida posteriormente. Quem distribui a CA via GPO, MDM ou política deve, portanto, também testar a remoção da antiga CA.

Baixar o CA do Sophos Firewall

No Sophos Firewall, o certificado é baixado na interface web:

  1. Faça login como administrador no Sophos Firewall.
  2. Abra Certificates > Certificate authorities.
  3. Encontre a CA SecurityAppliance_SSL_CA.
  4. Baixe o certificado através do ícone de download.
Baixar certificado CA SSL Sophos
Download do CA do Sophos Firewall para Escaneamento HTTPS e Inspeção TLS

O certificado geralmente é salvo como SecurityAppliance_SSL_CA.pem. Este arquivo contém a parte pública da CA e pode ser distribuído para os clientes. A chave privada não deve ser distribuída para os clientes.

O arquivo deve ser tratado como um elemento de configuração de segurança. A parte pública não é uma senha, mas define em qual CA os clientes confiarão no futuro. Portanto, o arquivo deve vir do próprio firewall produtivo, ser versionado ou pelo menos armazenado de forma rastreável e não reutilizado de projetos antigos.

Distribuir o certificado no Windows via GPO

Em ambientes de Active Directory, uma política de grupo é o método mais limpo. Edge, Chrome e muitos aplicativos do Windows confiam no armazenamento de certificados do Windows.

Caminho recomendado na administração de políticas de grupo:

Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates

Procedimento:

  1. Abra a administração de políticas de grupo em um controlador de domínio ou cliente administrador.
  2. Use uma GPO existente para a linha de base do cliente ou crie uma nova GPO para o grupo de teste de Inspeção TLS.
  3. Navegue até Trusted Root Certification Authorities > Certificates.
  4. Clique com o botão direito na lista de certificados.
  5. Selecione All Tasks > Import.
  6. Importe SecurityAppliance_SSL_CA.pem.
  7. Vincule a GPO apenas à OU ou grupo de segurança desejado.
  8. Execute gpupdate /force em um cliente de teste ou aguarde a atualização regular.
Importar CA Sophos via GPO em autoridades de certificação raiz confiáveis
Distribuição do CA do Sophos Firewall através de Trusted Root Certification Authorities

Para ambientes produtivos, a GPO não deve ser aplicada diretamente a todos os computadores. Uma OU de teste reduz o risco se um certificado for importado incorretamente ou um aplicativo reagir de forma inesperada.

Instalar o certificado localmente no Windows

Para dispositivos de teste individuais, o certificado pode ser importado localmente. Existem duas variantes adequadas:

  • Armazenamento do Computador Local: aplica-se a todos os usuários no dispositivo e geralmente é correto para clientes gerenciados.
  • Armazenamento do Usuário Atual: aplica-se apenas ao usuário logado e às vezes é suficiente para testes.

Para o computador local:

  1. Faça login como administrador local.
  2. Inicie certlm.msc.
  3. Abra Trusted Root Certification Authorities > Certificates.
  4. Clique com o botão direito na lista de certificados.
  5. Selecione All Tasks > Import.
  6. Importe SecurityAppliance_SSL_CA.pem.

Para o usuário atual, certmgr.msc pode ser usado como alternativa.

Importar CA Sophos em um cliente Windows
Importação local do CA do Sophos Firewall no armazenamento de certificados do Windows

Após a importação, os navegadores e aplicativos devem ser reiniciados. Em alguns aplicativos, pode ser necessário fazer logout ou reiniciar o cliente.

Confiar no certificado no chaveiro do macOS

No macOS, o certificado é importado através da administração do chaveiro.

Procedimento:

  1. Copie SecurityAppliance_SSL_CA.pem para o Mac.
  2. Abra o certificado com um duplo clique.
  3. Disponibilize no chaveiro System ou em um perfil MDM gerenciado.
  4. Abra o certificado e, em Trust, defina Always Trust.
  5. Confirme a alteração com uma conta de administrador.
  6. Reinicie navegadores e aplicativos afetados.
Confiar no CA Sophos na administração do chaveiro do macOS
Administração do chaveiro do macOS: Marcar o CA do Sophos Firewall como confiável

Em ambientes macOS maiores, a distribuição deve ser feita via MDM. A instalação manual é mais adequada para testes ou dispositivos individuais.

Verificar o certificado em dispositivos gerenciados

Após a distribuição, deve-se verificar em pelo menos um dispositivo de teste por plataforma se a CA realmente foi parar no Armazenamento de Confiança correto.

  • Armazenamento do Computador Windows: Abra certlm.msc e procure em Trusted Root Certification Authorities > Certificates.
  • Armazenamento do Usuário Atual Windows: Abra certmgr.msc e verifique o armazenamento de confiança do usuário.
  • macOS: Abra a administração do chaveiro e verifique o status de confiança no chaveiro System.
  • Firefox: Abra Settings > Privacy & Security > Certificates > View Certificates.

Se um certificado estiver apenas no armazenamento do usuário, mas um aplicativo esperar o armazenamento do computador, o navegador pode funcionar e outro aplicativo ainda mostrar erros de certificado. Por outro lado, navegadores com armazenamento de confiança próprio podem ignorar a distribuição do Windows ou macOS se não estiverem configurados adequadamente.

Firefox no Windows

O Firefox pode usar seus próprios armazenamentos de certificados dependendo da configuração. Em ambientes Windows, há dois métodos comuns:

  • Configurar o Firefox para usar as CAs Raiz do Windows.
  • Distribuir certificados através das Políticas Empresariais da Mozilla.

A segunda variante é adequada em ambientes onde o Firefox é controlado centralmente via GPO.

Baixar modelos de GPO do Firefox

A Mozilla disponibiliza os modelos de política no GitHub. São necessários, entre outros:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Os arquivos podem ser baixados do Repositório de Modelos de Política da Mozilla ou como policy_templates.zip.

Arquivos de modelo de política GPO do Mozilla Firefox
Modelos de Política da Mozilla para políticas de grupo do Firefox

Importar modelos

Os arquivos ADMX e ADML são copiados para o caminho central PolicyDefinitions.

Caminho local típico:

C:\Windows\PolicyDefinitions

Em um Central Store no domínio, a pasta PolicyDefinitions sob SYSVOL é usada.

Copiar arquivos ADMX e ADML do Firefox para PolicyDefinitions
Disponibilizar modelos de política do Firefox em PolicyDefinitions

Configurar política do Firefox

Na política de grupo, o certificado é então registrado nas políticas do Firefox:

Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates

Procedimento:

  1. Ative a política Install Certificates.
  2. Insira o nome do arquivo do certificado, por exemplo, SecurityAppliance_SSL_CA.pem.
  3. Copie o arquivo de certificado via GPO ou distribuição de software para o diretório de perfil de usuário esperado.
Configurar GPO do Firefox para certificado CA Sophos
GPO do Firefox: Disponibilizar o CA do Sophos Firewall para o navegador

Dependendo da versão do Firefox e da configuração da política, os certificados são lidos destes diretórios:

%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates

Após a próxima sessão do Firefox, o certificado deve ser visível na administração de certificados do Firefox.

Administração de certificados do Firefox com CA Sophos
Administração de certificados do Firefox: Verificar se o CA do Sophos Firewall foi importado

A Mozilla documenta caminhos e variantes adicionais no Wiki: Adicionar Certificado Raiz ao Firefox.

Verificar funcionamento

Após a distribuição, deve-se verificar não apenas se o certificado está presente. O crucial é se a Inspeção TLS funciona corretamente.

Testes recomendados:

  1. Reinicie o cliente de teste ou faça login novamente no usuário.
  2. Abra o navegador e acesse uma página HTTPS que seja descriptografada pelo Sophos Firewall.
  3. No navegador, exiba o certificado do site.
  4. Verifique se a cadeia de certificados passa por SecurityAppliance_SSL_CA ou pela CA Sophos escolhida.
  5. No firewall, verifique em Log Viewer > SSL/TLS inspection se o tráfego é exibido como descriptografado.
  6. Teste aplicativos empresariais importantes, serviços de atualização, ferramentas de colaboração e provedores de identidade.

Se o aviso do navegador desaparecer, mas os aplicativos ainda mostrarem erros, o problema geralmente não está no certificado em si. Frequentemente, são o Certificate Pinning, exceções TLS ausentes, um Perfil de Descriptografia incorreto ou uma Regra de Inspeção SSL/TLS inadequada que são a causa.

Para tráfego web, deve-se verificar adicionalmente se o QUIC ou HTTP/3 está contornando a inspeção esperada. O artigo Bloquear corretamente o protocolo QUIC e HTTP/3 no Sophos Firewall explica por que Block QUIC protocol continua relevante para filtragem web, escaneamento de malware e Inspeção TLS.

Erros comuns

  • O navegador ainda mostra aviso de certificado: CA não está no Armazenamento de Confiança correto. Verificar armazenamento de certificados Windows/macOS/Firefox.
  • Chrome funciona, Firefox não: Firefox usa armazenamento de certificados próprio. Verificar políticas do Firefox ou administração de certificados do Firefox.
  • Aplicativos individuais falham: Certificate Pinning ou verificação de certificado própria. Verificar Log Viewer de Inspeção TLS e exceções.
  • Apenas alguns clientes funcionam: GPO não está aplicando ou OU incorreta. Verificar gpresult e vinculação de GPO.
  • Após regeneração da CA, há avisos: CA antiga ainda nos clientes ou nova CA ausente. Remover CA antiga, distribuir nova CA.
  • Feeds de URL ou filtro web não funcionam como esperado: Caminho HTTPS não está sendo descriptografado. Verificar Inspeção TLS e política web.
  • Certificado está presente, mas tráfego não é descriptografado: Nenhuma regra de Inspeção SSL/TLS adequada ou caminho DPI/Web-Proxy incorreto. Verificar implementação TLS, regra do firewall e Log Viewer.
  • Apenas aplicativos móveis ou clientes individuais falham: Armazenamento de confiança próprio, Certificate Pinning ou verificação específica do aplicativo. Verificar exceção direcionada em vez de desativação global.

Rotação de CA e emergência

Uma CA não deve ser operada sem supervisão por anos, sem que a data de validade, origem e distribuição sejam conhecidas. Para ambientes produtivos, deve haver um pequeno processo de ciclo de vida.

Mudança planejada:

  1. Preparar nova CA ou nova CA do firewall.
  2. Distribuir nova CA para um grupo de teste.
  3. Verificar Inspeção TLS com grupo de teste.
  4. Distribuir nova CA para todos os dispositivos gerenciados afetados.
  5. Controlar regras do firewall e perfis de descriptografia.
  6. Remover CA antiga apenas quando todos os dispositivos produtivos tiverem recebido a nova CA.

Emergência em caso de comprometimento:

  1. Restringir ou desativar temporariamente a Inspeção TLS, se necessário.
  2. Substituir a CA afetada no firewall.
  3. Implementar nova CA através do método de distribuição definido.
  4. Remover CA antiga de todos os Armazenamentos de Confiança.
  5. Verificar exceções, Log Viewer e aplicativos afetados.
  6. Documentar a alteração no sistema de incidentes ou mudanças.

Importante: Uma CA comprometida não é um problema de certificado normal. Se um invasor controlar a chave privada, os clientes podem confiar em certificados falsificados. Nesse caso, a CA antiga deve ser removida de forma consistente.

Operação e manutenção

O certificado CA deve fazer parte do processo operacional:

  • Documentar data de validade e responsáveis.
  • Realizar regeneração da CA apenas de forma planejada.
  • Remover CA antiga dos clientes após a migração.
  • Verificar regularmente a distribuição via GPO ou MDM.
  • Documentar exceções TLS e revisar periodicamente.
  • Regenerar a CA em caso de perda de dispositivo ou comprometimento da CA.

Ao fazer uma alteração na Inspeção TLS, também deve-se verificar as regras do firewall afetadas, perfis de descriptografia e listas de exclusão. Caso contrário, o cliente pode confiar na CA, mas o firewall ainda não descriptografa o tráfego desejado.

FAQ

Por que é necessário o certificado CA do Sophos Firewall?

O firewall assina conexões HTTPS descriptografadas com uma CA local. Os clientes devem confiar nesta CA para que navegadores e aplicativos aceitem a conexão.

O certificado deve ser instalado em servidores?

Na maioria das vezes, trata-se de clientes que acessam a internet a partir da rede interna. Os servidores precisam do certificado apenas se o tráfego HTTPS de saída também for inspecionado pela Inspeção TLS.

Deve-se instalar a CA Sophos em dispositivos privados?

Geralmente não. A Inspeção TLS deve estar em dispositivos corporativos gerenciados com política clara, processo de suporte e avaliação de privacidade.

O que acontece se a CA Sophos for regenerada?

Os clientes continuarão a confiar na CA antiga, mas não automaticamente na nova. A nova CA deve ser distribuída e a antiga CA removida após a migração.

A distribuição da CA é suficiente para a Inspeção TLS?

Não. Além disso, são necessárias regras de firewall adequadas, política web, regras de inspeção SSL/TLS, perfis de descriptografia, exceções e registro de logs.

Porque é que o browser continua a mostrar o certificado público original?

Então essa ligação provavelmente não foi desencriptada. Frequentemente não há uma SSL/TLS Inspection Rule adequada, uma exceção tem prioridade, QUIC ou HTTP/3 seguem outro caminho, ou o tráfego não passa pela regra de firewall esperada.