¿Hay alguna solución para bloquear el tráfico HTTPS utilizando el filtrado de URL?

Desde fuera de SSL, solo puede ver el servidor nombre (el cliente lo envía como parte de Extensión de la Indicación del nombre del servidor en las primeras etapas del protocolo de enlace SSL, y también aparece en el certificado enviado por el servidor); esto puede ser suficiente para filtrar alguna "URL". P.ej. en su ejemplo, puede ver que la conexión es SSL y para www.facebook.com ; Si quieres bloquear todo Facebook, esta es información suficiente; la URL real no es necesaria.

Si desea algo más específico, debe leer la URL en sí, que está protegida por SSL. Para eso, tienes que romper SSL de alguna manera. Existen herramientas que ejecutan un ataque Man-in-the-Middle en SSL (se basan en la instalación de una CA raíz no autorizada controlada por filtro en el sistema cliente). Una conocida herramienta comercial para eso es ProxySG de Blue Coat . También hay soluciones de código abierto . En cualquier caso, estos sistemas requieren algún tipo de acceso privilegiado al sistema cliente (instalación de CA raíz adicional); Los usuarios expertos en informática lo sabrán. También se puede decir que tales herramientas "rompen las expectativas de privacidad de los usuarios" y, si bien técnicamente funcionan , también pueden desencadenar un clima tóxico de desafío en el lugar de trabajo. Usar con cuidado.

Soy consciente de algunos productos en el mercado que pueden hacer esto o algo similar.

Los enfoques que utilizan son:

• Para la coincidencia de URL, es necesario ser hombre en el medio. Algunos firewalls y sistemas de prevención de intrusos admiten esto con fines administrativos (de control). En este caso, pueden filtrar el tráfico como lo hace el http (con una penalización de rendimiento significativa).
• Si solo desea hacer coincidir el sitio en lugar de la URL exacta, es posible utilizar el certificado dentro del establecimiento de conexión SSL / TLS para fines de filtrado. Esto permitirá efectivamente filtrar, por ejemplo. Facebook completo.

Por lo general, el filtrado de contenido normal bloqueará http, pero no https. Hay algunas otras cosas que se pueden hacer para bloquear sitios https dados. 1. Puede crear una regla de firewall para https a la (s) dirección (es) ip de los sitios. 2. Agregue un registro DNS de FQDN en el firewall que apunta * .facebook.com a 0.0.0.0.

No es la mejor solución, pero un complemento del navegador como Script Blocker for Chrome puede filtrar las URL / dominios después de https / SSL una vez que los datos web están descifrados y listos para renderizarse dentro del navegador.

Hemos implementado el filtrado HTTPS con caché de calamar utilizando el SNI. Funciona bien en modo SSL transparente. Las ACL también se implementan. Hemos integrado la caja de calamar con Cisco ASA como servidor WCCP y está en producción.