明示的に許可または拒否する証明書サブジェクトのコモンネーム (「重要な概念」で説明します) のリストを定義することができます。エントリの文字列が含まれるものは一致とみなされます。例えば、ブラックリストのエントリが prox の場合、www.megaproxy.com、www.proxify.com および proxify.net は一致するものと判断されます。これにより、好ましくないと考えられるサブジェクトに対して発行された証明書を使用する SSL 交換のすべてを、簡単に遮断することができます。その一方で、組織に共通する文字列をホワイトリストで定義することにより、その組織内のすべての証明書を簡単に許可することができます。各リストには、最大 1,024 のエントリを定義できます。

SSL でセキュリティ保護された適切なサイトでは、既知の認証局によって発行された証明書を使用することが一般的であり、これは SSL における信頼の基盤です。また同様に、(SonicWall ネットワーク セキュリティ装置のように) SSL によってセキュリティ保護されたネットワーク装置では、セキュリティ保護のための既定の方法として自己署名証明書を使用することが一般的です。したがって、閉鎖的な環境の自己署名証明書は疑わしくありませんが、公開されているサイトや商業利用サイトで使用されている自己署名証明書は疑わしいものです。自己署名証明書を使用する公開サイトでは、信頼性と識別のためではなく、暗号化のためだけにSSL が使用されていることがよくあります。完全に不正なサイトとは言い切れませんが、SSL で暗号化されたプロキシ サイトで一般的なように、隠蔽が目的である可能性が高いと言えます。

自己署名証明書を遮断するポリシーを設定できるため、このようなサイトと通信する危険性に対する防御が可能です。自己署名証明書を使用している既知の信頼できる SSL サイトとの通信が遮断されないようにするため、ホワイトリスト機能を使用して明示的に許可することができます。

自己署名証明書が使用されている場合と同様、信頼できない CA によって発行された証明書が使用されている場合も、あいまい化のための信頼できない行為とは断定できませんが、信頼できるかどうか疑わしいことは確かです。

SSL 制御機能では、SSL 交換で使用される証明書の発行者とファイアウォールの証明書ストアに保存されている証明書を比較することができます。証明書ストアには、現在のウェブ ブラウザと同じように、約100 個の既知の CA の証明書が保存されています。この証明書ストアに保存されていない CA によって発行された証明書が SSL 制御機能によって検出された場合、SSL 接続を禁止できます。

独自のプライベート認証局を組織で使用している場合は、このプライベート CA をファイアウォールの証明書ストアに簡単にインポートして、プライベート CA を信頼された CA として認識されるようにすることができます。証明書ストアには、最大 256 の証明書を保存できます。