Einschränkungen und Empfehlungen beim Implementieren der SSL Entschlüsselung
Einschränkungen und Empfehlungen beim Implementieren der SSL Entschlüsselung
69941
Created On 09/25/18 19:20 PM - Last Modified 06/02/23 01:44 AM
Resolution
Details
SSL Die Entschlüsselung funktioniert nicht oder wird in den folgenden Szenarien nicht wirksam:
Einschränkungen
Die Forward-Proxy-Entschlüsselung funktioniert nicht mit gegenseitiger Authentifizierung
Der Server erwartet, dass das Benutzerzertifikat während des Handshakes angezeigt wird, und die Palo Alto-Netzwerke firewall haben keinen Zugriff auf den privaten Schlüssel und das Zertifikat des Benutzers.
Der Inhalt kann nicht entschlüsselt werden, wenn nicht unterstützte Protokolle oder Chiffren verwendet werden
TLS 1.2 kann nicht vor 6.0 entschlüsselt werden PAN-OS
Vor PAN-OS 6.0 wurden die TLS 1,2 Sitzungen auf 1,1 herabgestuft. TLS
Die folgenden Verschlüsselungssammlungen werden für die Entschlüsselung nicht unterstützt: AES128- GCM- SHA256 Hinweis: AES128- GCM- SHA256 wird in PAN-OS 7.1 und höher unterstützt.
Firewalls entschlüsseln keine Sitzungen, in denen der Diffie-Hellman-Schlüsselaustausch für die Forward Proxy Decryption in PAN-OS 7.1 und früheren Versionen verwendet wird.
Empfehlungen
Wenn ein Unternehmen CA vorhanden ist, verwenden Sie es, da es vertrauenswürdig ist.
Aktivieren der SSL Entschlüsselung für eine kleine Gruppe von Benutzern oder ein einzelnes Subnetz
Verwenden Sie immer URL Kategorien, um selektive Inhalte zu entschlüsseln, z. B. soziale Netzwerke.
In einigen Ländern können bestimmte Verbindungen aufgrund des Gesetzes nicht entschlüsselt werden, daher verwenden Sie URL Kategorien, um sensible Kategorien auszuschließen.