Configurando no FortiOS v5 Webfiltering para scan de HTTPS sem habilitar o SSL Deep Scanning

Introdução
O FortiOS FortiGuard webfiltering e Filtro URL pode ser configurado para bloquear ou permitir sites HTTPS, sem a necessidade do Deep Scan.
O daemon WebFilter tem a capacidade de extrair o nome de host do site a partir do certificado SSL (campo CN), que é enviado através de uma sessão sem criptografia (HTTP) antes do túnel SSL ser estabelecido, e usa esta informação do hostname para avaliar o site (e não a URL completa), bloqueando assim o acesso ou permitindo.
Desta forma não há necessidade de instalar o certificado auto-assinado do Fortigate em todos estações de trabalho ou a compra de um certificado válido para o efeito.
Configuração
1.Criar um novo perfil de Inspeção SSL / SSH e ativar o HTTPS pela porta 443
2.Desativar a opção Scan encrypted Connections em seu perfil Webfilter

 

3. Selecione tanto SSL / SSH Inspeção e perfis Webfilter em sua política que controla o acesso HTTPS
Ao configurar o FGT para fazer isso, se uma página web é bloqueada, por padrão, o FGT irá enviar um mensagem de substituição ao
de usuário e uma vez que é um site HTTPS, a URL também será através de HTTPS.
Neste caso, o usuário também vai ser solicitado a aceitar certificado auto-assinado da FGT, mas, isso é apenas para uma  URL  bloqueada se isso acontecer para um site permitido  significa SSL DEEP SCAN está habilitado.
Você pode facilmente testar isso acessando um site HTTPS permitido e você vai ver que ele não vai pedir-lhe para aceitar o certificado auto-
certificado assinado do FGT, enquanto que para um site bloqueado você verá a mensagem de aviso de certificado em seu navegador.

Fonte Fortinet.