...
De toepassing van TLS-inspectie als mitigerende maatregel hangt onder meer af van de klasse van informatie; sommige informatie wenst men niet aan TLS-inspectie te onderwerpen omdat het risico op niet-geautoriseerde toegang door middel van de TLS-inspectie te groot is.
3.3.3.6.1. Uitgaande datastromen
Om TLS-inspectie te kunnen toepassen is er een zogenaamde Man in the Middle nodig. Deze Man in the Middle is vaak een prox server die de versleutelde datastromen opvangt en ontcijfert zodat de inhoud kan worden geanalyseerd. Vervolgens gaat het gecontroleerde verkeer verder naar de bestemmeling. Om dit zonder TLS-foutmeldingen op de gebruikersapparatuur te realiseren in geval van uitgaande datastromen, is er een interne certificate authority (CA) nodig met een eigen root-certificaat. Vaak zit deze functionaliteit in de firewall zelf. Het root-certificaat moet op de betrokken apparatuur geïnstalleerd worden.
...
Een proxserver, dit is nodig om de datastromen te kunnen scannen op malware, virussen en documenten die het bedrijf niet via het internet mogen verlaten;
Een internecertificateauthority met een geldig zelf gegenereerd (self signed) root-certificaat geïnstalleerd op de betrokken apparatuur; en
Een firewalldie bijvoorbeeld de https-datastromen transparant doorstuurt naar de proxyserver, of instellingen in de browsers binnen het netwerk waarin staat dat de proxyserver gebruikt moet worden.
3.3.3.6.2. Inkomend verkeer
In geval van inspectie op inkomende datastromen is geen root-certificaat en interne CA nodig.