Inspeção SSL: como funciona, o que revela e por que você não pode ignorar

O problema: criptografia como escudo do malware

O HTTPS foi criado para proteger dados em trânsito — e faz isso muito bem. O problema é que o malware moderno aprendeu a usar HTTPS da mesma forma que aplicações legítimas. Ransomware baixa seus componentes via HTTPS. C2 (comando e controle) se comunica via HTTPS. Exfiltração de dados acontece via HTTPS.

Um firewall sem inspeção SSL vê apenas metadados dessas conexões — destino e volume de tráfego — mas não o conteúdo. É como ter um segurança na porta que confere apenas o envelope das cartas, sem abrir nenhuma.

Como a inspeção SSL funciona tecnicamente

A inspeção SSL funciona como um man-in-the-middle legítimo e autorizado entre o usuário e o site de destino:

1. O usuário solicita uma conexão HTTPS para um site (ex: download de arquivo).

2. O FortiGate intercepta a conexão e estabelece dois túneis TLS separados: um entre o usuário e o FortiGate, e outro entre o FortiGate e o servidor de destino.

3. O FortiGate descriptografa o tráfego do túnel do usuário, inspeciona o conteúdo com todos os perfis de segurança ativos (antivírus, IPS, controle de aplicações), e recriptografa antes de enviar ao destino.

4. O certificado apresentado ao usuário é emitido pela CA do FortiGate — por isso o certificado de CA precisa ser instalado nos endpoints. Sem ele, o navegador mostra alerta de certificado inválido.

O que a inspeção SSL revela na prática

Em ambientes onde a inspeção SSL é ativada pela primeira vez, é comum encontrar tráfego inesperado que estava oculto dentro do HTTPS:

Aplicações não autorizadas: clientes BitTorrent, ferramentas de acesso remoto pessoais (TeamViewer, AnyDesk), aplicações de compartilhamento de arquivos pessoais — todas usando HTTPS para contornar o firewall.

Malware ativo: em alguns casos, a inspeção SSL revela comunicações C2 de malware já instalado nos endpoints — infecções que passaram despercebidas por semanas ou meses porque o tráfego estava criptografado.

Exfiltração de dados: uploads massivos para serviços de nuvem pessoais (Google Drive pessoal, Dropbox) que não seriam visíveis sem inspeção SSL.

Exceções legítimas: o que não inspecionar

Nem todo tráfego HTTPS deve ou pode ser inspecionado. O FortiGate permite criar exceções baseadas em categoria de URL, endereço de destino ou assinatura de aplicação:

Serviços financeiros e bancários: bancos e instituições financeiras frequentemente detectam inspeção SSL e bloqueiam o acesso ou exigem certificados específicos. Crie uma exceção para a categoria Finance and Banking.

Atualizações de sistema operacional e software: Windows Update, Apple Update, repositórios de Linux — inspecionar esses fluxos raramente adiciona valor de segurança e pode causar problemas de integridade de assinatura.

Tráfego com certificate pinning: alguns aplicativos mobile e desktop usam certificate pinning — verificam explicitamente a identidade do certificado do servidor e rejeitam qualquer intermediário. Nesses casos, a inspeção SSL causa falha de conexão.

Impacto de performance e como mitigar

A inspeção SSL tem custo computacional — descriptografar, inspecionar e recriptografar cada sessão TLS consome CPU e memória. Em modelos sem ASIC CP dedicado para aceleração de criptografia, esse custo pode ser significativo.

Três estratégias para minimizar o impacto: usar o modo certificate inspection em vez de deep inspection para categorias de baixo risco (valida apenas o certificado, sem inspecionar o conteúdo); criar exceções para tráfego de alto volume e baixo risco (CDNs de streaming, repositórios de atualização); e garantir que o modelo de FortiGate está adequadamente dimensionado para o volume de HTTPS do ambiente antes de ativar a inspeção.