Limitaciones y recomendaciones al implementar SSL el descifrado

Detalles

SSL El descifrado no funcionará ni surtirá efecto en los siguientes escenarios:

Limitaciones

1. Descifrado de proxy de reenvío no funciona con autenticación mutua
   1. El servidor espera que el certificado de usuario se presente durante el apretón de manos, y las redes de Palo Alto no tienen acceso a la clave privada y el certificado del firewall usuario
2. El contenido no se puede descifrar cuando se utilizan protocolos o cifrados no compatibles
   1. TLS 1.2 no se puede descifrar antes de PAN-OS 6.0
   2. Antes de PAN-OS las 6.0, las TLS sesiones de 1.2 se redujeron a TLS 1.1
   3. Los siguientes conjuntos de cifrado no son compatibles con el descifrado:
      AES128- GCM- SHA256
      Nota: AES128- GCM- SHA256 es compatible con PAN-OS 7.1 y superior.
   4. Los firewalls no descifran las sesiones donde se utiliza el intercambio de claves Diffie-Hellman para el descifrado de proxy de reenvío en PAN-OS versiones 7.1 y anteriores

Recomendaciones

1. Si hay una empresa CA en su lugar, úsalo, ya que es de confianza
2. Habilitar SSL descifrado para un pequeño grupo de usuarios o una sola subred
3. Utilice siempre URL categorías para descifrar contenido selectivo, como redes sociales.
4. En algunos países, ciertas conexiones no se pueden descifrar debido a la ley, por lo que utilice URL categorías para excluir categorías sensibles.

El documento siguiente contiene la lista de aplicaciones que se excluyen de SSL Descifrado:Lista de aplicaciones excluidas del SSL descifrado

Ver también

Compatibilidad Matric : Suites Cipher compatibles (para PAN-OS 7.1 y 8.0)

SSL Descifrado no funciona debido a suites de cifrado no compatibles

Cómo implementar y probar SSL el descifrado

Propietario: dantony