اليوم أغلب الـ traffic يكون HTTPS/TLS مشفّر، ولكي تستطيع الـ security profiles مثل AV و IPS و Web Filter أن ترى ما بداخله نحتاج SSL inspection. يقدّم FortiGate وضعين: SSL Certificate Inspection الخفيف، و Full SSL Deep Inspection الذي يفكّ التشفير فعلياً. فهم الفرق بينهما وكيفية توزيع الـ CA certificate على العملاء هو جوهر هذا الدرس.

• 1وضع SSL Certificate Inspection ينظر فقط إلى الـ server certificate و الـ SNI و الـ CN بدون فك تشفير؛ خفيف على الموارد ويسمح بعمل web filtering أساسي حسب اسم الموقع (hostname) فقط دون فحص المحتوى.
• 2وضع Full SSL Deep Inspection يجعل FortiGate يعمل كـ trusted MITM: يفك التشفير، يفحص المحتوى عبر AV/IPS/web/app، ثم يعيد التشفير. هذا الوضع إلزامي إذا أردت فحص محتوى HTTPS بالـ AV أو الـ IPS.
• 3أثناء الـ deep inspection يعيد FortiGate توقيع شهادة الخادم باستخدام الـ FortiGate CA certificate، لذلك يجب أن يثق العميل (client) بهذه الـ CA cert وإلا ستظهر له certificate warnings في المتصفح.
• 4يمكن إعداد exemptions داخل ملف الـ deep inspection لإعفاء فئات حساسة مثل Finance and Banking أو Health and Wellness ومواقع reputable من فك التشفير، لأسباب خصوصية وقانونية أو لأن تطبيقات معينة تعمل certificate pinning وتنكسر مع الـ MITM.
• 5الـ SSL inspection profile يُربط في الـ firewall policy، ويجب أن يتوافق وضع الفحص (certificate أو deep) مع ما تحتاجه الـ security profiles المرفقة؛ مثلاً تفعيل AV scanning على HTTPS لن يعمل فعلياً إلا مع deep inspection.

• في الـ Full SSL Deep Inspection لازم كل الأجهزة تثق بشهادة الـ FortiGate CA، وإلا المتصفح يطلع تحذير certificate untrusted، فتوزّع الشهادة عبر GPO أو MDM.
• يُنصح باستثناء فئات finance وhealth من الـ deep inspection عبر exempt list لأسباب privacy وlegal، مع إبقاء الفحص شغّال على باقي الـ HTTPS traffic.
• بدون SSL Deep Inspection يقدر الـ FortiGate يشوف بس الـ SNI/CN، فميزات AV وIPS وDLP تفشل في كشف التهديدات المخفية جوّا الـ encrypted HTTPS sessions.