Inspeção SSL no FortiGate: guia completo
Mais de 80% do tráfego corporativo é criptografado. Sem inspeção SSL, seu firewall é cego à maior parte das ameaças modernas. Veja como configurar corretamente.
O problema com tráfego criptografado
O HTTPS se tornou padrão para praticamente toda comunicação web — o que é ótimo para privacidade, mas cria um ponto cego crítico para firewalls. Sem inspeção SSL, o FortiGate consegue ver apenas o endereço de destino e a porta — o conteúdo da comunicação fica completamente opaco.
Isso significa que malware pode ser baixado via HTTPS sem ser detectado, exfiltração de dados pode ocorrer dentro de conexões aparentemente legítimas e ataques baseados em exploits podem passar despercebidos mesmo com IPS ativado. A inspeção SSL fecha esse ponto cego.
Dado importante: Segundo relatórios da Fortinet, mais de 60% das amostras de malware analisadas usam HTTPS para comunicação de comando e controle (C2). Sem inspeção SSL, esses ataques passam invisíveis pelo firewall.
Como funciona a inspeção SSL no FortiGate
O FortiGate realiza inspeção SSL por meio de um proxy transparente: ao interceptar uma conexão HTTPS, ele termina o túnel SSL do cliente, inspeciona o conteúdo descriptografado aplicando todos os perfis de segurança, e reabre uma nova conexão SSL com o servidor de destino.
Para o usuário, a experiência é transparente — exceto pelo fato de que o certificado apresentado pelo site será re-assinado pelo certificado CA do FortiGate. É por isso que esse certificado CA precisa ser instalado como autoridade confiável em todos os dispositivos gerenciados.
O FortiGate suporta dois modos: Certificate Inspection (inspeciona apenas o certificado, sem descriptografar o conteúdo) e Full SSL Inspection (descriptografa e inspeciona o conteúdo completo). Para proteção real, apenas o Full SSL Inspection é eficaz.
Pré-requisitos para Full SSL Inspection
Certificado CA do FortiGate: o FortiGate usa um certificado CA interno para re-assinar os certificados dos sites inspecionados. Esse CA precisa ser distribuído e instalado como autoridade confiável em todos os dispositivos que passarão pela inspeção.
Distribuição via GPO: em ambientes com Active Directory, distribua o certificado CA via Group Policy Object para o repositório de certificados raiz confiáveis de todas as estações Windows.
Dispositivos não gerenciados: dispositivos pessoais, celulares e IoT não receberão o certificado CA automaticamente. Planeje como tratar esses casos — via segmentação de rede ou via portal captive.
Capacidade de processamento: a inspeção SSL consome CPU significativa. Verifique se o modelo de FortiGate tem capacidade suficiente para o volume de tráfego HTTPS da sua rede. Modelos sem hardware SSL offload terão maior impacto de performance.
Configurando o perfil de inspeção SSL
No FortiGate, acesse Policy & Objects > SSL/SSH Inspection e crie um novo perfil:
Inspection Method: Full SSL Inspection
CA Certificate: selecione o certificado CA que será distribuído aos dispositivos (o padrão Fortinet_CA_SSL ou um certificado da sua PKI)
Protocol Port Mapping: inclua HTTPS (443), SMTPS (465), IMAPS (993), POP3S (995) e outras portas SSL/TLS utilizadas no ambiente
Após criar o perfil, associe-o às políticas de firewall relevantes no campo SSL/SSH Inspection Profile.
Dica Fortilab: Comece ativando a inspeção SSL apenas em modo monitor (sem bloquear) por 1 a 2 semanas. Analise os logs para identificar aplicações que quebram com a inspeção antes de mudar para modo block.
Exceções: o que não inspecionar
Serviços financeiros: bancos, bolsas de valores e gateways de pagamento frequentemente utilizam certificate pinning — validam o certificado do servidor e rejeitam qualquer substituição. A inspeção SSL quebra essas conexões.
Saúde e privacidade: sites de planos de saúde, sistemas médicos e portais de RH. Questões de privacidade e conformidade com LGPD recomendam excluir essas categorias.
Atualizações de sistema: Windows Update e repositórios de software corporativo. Inspecionar esses downloads pode causar falhas nas atualizações.
O FortiGate permite criar exceções por categoria de URL (banco de dados FortiGuard), por IP de destino ou por endereço de certificado. Use exceções baseadas em categoria sempre que possível — são mais fáceis de manter do que listas manuais.
Inspeção SSL e LGPD
A inspeção SSL em ambiente corporativo é legalmente válida quando os funcionários foram informados e consentiram com o monitoramento de comunicações realizadas em equipamentos e redes da empresa. Essa comunicação deve ser documentada em políticas de uso aceitável de TI assinadas pelo colaborador.
A política de uso de tecnologia da empresa deve incluir uma cláusula explícita sobre monitoramento de tráfego em dispositivos corporativos, com descrição de como os dados são utilizados, quem tem acesso e por quanto tempo são retidos. Consulte o departamento jurídico para adequar o texto à organização.