Настройка DNS на УБ необходима, так как модуль, выполняющий защиту от вредоносных сайтов, перехватывает запрос клиента и инициирует новое подключение от своего имени, то есть ему потребуется преобразовать имена в IP-адреса.
Для веб-фильтрации по протоколу HTTPS нужно выпустить корневой сертификат RSA и на его основе – сертификат SSL/TLS-инспекции. Это необходимо для того, чтобы Континент мог «видеть» зашифрованный трафик. По сути, реализуется атака «человек посередине» (MITM). Т.е. Континент перехватывает запрос пользователя и поднимает сессию от себя со своим доверенным сертификатом.
Так как MITM считается атакой, то с SSL-инспекцией не все так гладко. Многие браузеры активно борются с атакой MITM. Внутри браузера есть репозиторий глобальных доверенных сертификатов. В следствии этого, браузер распознает подмену сертификата и доступ к определенным сайтам может быть заблокирован.
Решить эту проблему можно следующими способами:
1. Список исключений для SSL/TLS-инспекции
Если ресурс есть в списке исключений, то инспекция для него применяться не будет, соответственно блокировки запроса браузером не будет.
2. Запросить RSA ключ для доверенного сертификата, которому доверяют все.
На основе этого корневого сертификата выпустить сертификат SSL/TLS-инспекции и установить на УБ.