サポートされるドメイン

任意

ユーザの役割

• 管理者

• アクセス管理者

• ネットワーク管理者

復号ポリシーのデフォルトアクションは、ポリシーのモニター以外のルールと一致しない復号可能な暗号化トラフィックについてシステムがどのように処理するかを決定します。復号ルールがまったく含まれない 復号ポリシーを展開する場合、ネットワーク上のすべての復号可能トラフィックの処理方法が、デフォルトアクションで決定されます。デフォルト アクションでブロックされた暗号化トラフィックに対しては、システムはいかなる種類のインスペクションも行わないことに注意してください。

復号ポリシーのデフォルトアクションを設定する方法：

1. まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

2. [ポリシー（Policies）] > [アクセスコントロール（Access Control）] > [復号（Decryption）] をクリックします。

3. 復号ポリシーの名前の横にある [編集（Edit）]（） をクリックします。

4. [デフォルトアクション（Default Action）] 行で、リストから次のいずれかのアクションをクリックします。

復号ポリシーを最初に作成する場合、デフォルトアクションによって処理される接続のログは、デフォルトでは無効化されています。復号できないトラフィックの処理ではデフォルトアクションのログ設定も適用されるため、復号できないトラフィックのアクションで処理される接続のログは、デフォルトでは無効化されています。

ブラウザが証明書ピニングを使用してサーバ証明書を確認する場合は、サーバ証明書に再署名しても、このトラフィックを復号できないことに注意してください。詳細については、復号ルール の注意事項と制限事項を参照してください。

復号ポリシーが TCP ステートバイパスを使用するアクセス コントロール ポリシーに関連付けられている場合、一致するトラフィックは、ポリシーで設定されている [ハンドシェイクエラー（Handshake Errors）] に対する [復号不可のアクション（Undecryptable Actions）] に基づいて処理されます。

たとえば、復号ポリシーの [ハンドシェイクエラー（Handshake Errors）] が [ブロック（Block）] に設定されている場合、ルールに一致するトラフィックはブロックされ、接続イベントのアクションはハンドシェイクエラーとして報告されます。

TCP ステートバイパスの詳細については、次を参照してください。

• TCP ステート バイパスの設定

• 非対称ルーティングの TCP ステートチェックのバイパス（TCP ステートバイパス）

復号ポリシー の [詳細設定（Advanced Settings）] ページには、ポリシーが適用される Snort 3 用に設定されたすべての管理対象デバイスに適用されるグローバル設定があります。

復号ポリシー 詳細設定は、以下を実行する管理対象デバイスではすべて無視されます。

• 7.1 より前のバージョン

• Snort 2

[ESNIを要求するフローをブロックする（Block flows requesting ESNI）]

Encrypted Server Name Indication（ESNI（提案の草案へのリンク））は、クライアントが要求している内容を TLS 1.3 サーバーに伝える方法です。https://tools.ietf.org/html/draft-ietf-tls-esniSNI は暗号化されており、システムではサーバーを判別できないため、SNI 接続は必要に応じてブロックできます。

HTTP/3 アドバタイズメントを無効にする

このオプションを選択すると、TCP 接続の ClientHello から HTTP/3（RFC 9114）が削除されます。HTTP/3 は QUIC トランスポートプロトコルの一部であり、TCP トランスポートプロトコルではありません。クライアントによる HTTP/3 のアドバタイジングをブロックすると、QUIC 接続に埋め込まれている可能性のある攻撃や回避の試行に対する保護が提供されます。

信頼できないサーバー証明書をクライアントに伝播する

これは、[復号-再署名（Decrypt - Resign）] ルールアクションに一致するトラフィックにのみ適用されます。

このオプションを有効にすると、サーバー証明書が信頼されていない場合に、管理対象デバイスの認証局（CA）がサーバーの証明書の代わりに使用されます。信頼されていないサーバー証明書とは、Cisco Defense Orchestrator で信頼できる CA として表示されていない証明書です（）Secure Firewall Management Center。（[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [PKI] > [信頼できるCA（Trusted CAs）]）。

[TLS 1.3復号の有効化（Enable TLS 1.3 Decryption）]

TLS 1.3 接続に復号ルールを適用するかどうか。このオプションを有効にしない場合、復号ルールは TLS 1.2 以下のトラフィックにのみ適用されます。「TLS 1.3 復号のベストプラクティス」を参照してください。

[適応型TLSサーバーアイデンティティプローブの有効化（Enable adaptive TLS server identity probe）]

TLS 1.3 復号が有効な場合、自動的に有効になります。 プローブは、サーバーとの部分的な TLS 接続であり、その目的はサーバー証明書を取得してキャッシュすることです。（証明書がすでにキャッシュされている場合、プローブは確立されません。）

復号ポリシーが関連付けられているアクセス コントロール ポリシーで TLS 1.3 サーバーアイデンティティ検出が無効になっている場合、サーバー名指定（SNI）の使用が試行されますが、これは信頼性が高くありません。

適応型 TLS サーバー アイデンティティ プローブは、以前のリリースのようにすべての接続では発生せず、次のいずれかの条件で発生します。

• 証明書の発行者：復号ルールの DN ルール条件で発行者 DN の値が一致する場合に一致します。

  詳細については、識別名（DN）のルール条件を参照してください。

• 証明書ステータス：復号ルールでいずれかの証明書ステータス条件が一致する場合に一致します。

  詳細については、証明書ステータスの 復号ルール条件を参照してください。

• 内部/外部証明書：内部証明書は、[復号-既知のキー（Decrypt - Known Key）] ルールアクションで使用される証明書と照合できます。外部証明書は、証明書ルール条件で照合できます。

  詳細については、既知のキーでの復号（着信トラフィック）および証明書の 復号ルール条件を参照してください。

• アプリケーション ID：アクセス コントロール ポリシーまたは復号ポリシーのアプリケーションルール条件と照合できます。

  詳細については、アプリケーションルール条件を参照してください。

• URL カテゴリ：アクセス コントロール ポリシーの URL ルール条件と照合できます。

  詳細については、URL ルール条件を参照してください。

（注）	[適応型TLSサーバーでの検出モードの有効化（Enable adaptive TLS server discovery mode）] は、AWS に展開されたどの Secure Firewall Threat Defense Virtual でもサポートされていません。Secure Firewall Management Center で管理されているそのような管理対象デバイスがある場合、接続イベント PROBE_FLOW_DROP_BYPASS_PROXY は、デバイスがサーバー証明書の抽出を試みるたびに増加します。