Comportamiento de PAN-OS para CRL con extensión IDP: certificado marcado desconocido "si no aparece en la lista CRL"
Resolution
Según el comportamiento actual de la implementación, si el S/N de un certificado no aparece en una CRL, que tiene extensión IDP, el estado del certificado se marca como desconocido.
Este comportamiento está de acuerdo con el RFC, en el que el certificado se puede marcar como desconocido si la CRL tiene extensión IDP y las implementaciones no son necesarias para admitir esta extensión.
RFC 5280
https://Tools.ietf.org/html/rfc5280
5.2.5. Emitir punto de distribución
El punto de distribución de emisión es una extensión de CRL crítica que identifica el punto de distribución de CRL y el ámbito de una CRL en particular, e indica si la CRL cubre la revocación sólo para certificados de entidad final, certificados de CA únicamente, certificados de atributos sólo, o un conjunto limitado de códigos de razón. Aunque la extensión es crítica, las implementaciones conformes no son necesarias para soportar esta extensión. Sin embargo, las implementaciones que no admitan esta extensión deben tratar el estado de cualquier certificado no enumerado en esta CRL como desconocido o buscar otra CRL que no contenga extensiones críticas no reconocidas.
Análisis de este comportamiento en el Firewall:
Los siguientes registros se pueden ver en sslmgr. log:
2016-08-26 17:09:01.582 + 1000 extensión IDP presente en CRL http://crl3.DigiCert.com/sha2-EV-Server-G1.CRL para establecer el estado como desconocido para el certificado no listado serial [0793EC89595DBA606D1FD9F7BE389802].
Aquí, 07:93: EC: 89:59:5D: BA: 60:6D: 1F: D9: F7: BE: 38:98:02 es el S/N de www.DigiCert.com certificado.
Cómo verificar
- "sha2-EV-Server-G1. CRL" es la CRL que se está descargando (como se ve en sslmgr. log) para estos sitios Web.
- Descargue la CRL en el equipo local mediante el vínculo.
- Compruebe si la CRL tiene extensión IDP:
$ OpenSSL CRL-inform der-Text-in sha2-EV-Server-G1. CRL lista de revocación de
certificados (CRL):
versión 2 (0x1)
algoritmo de firma: sha256WithRSAEncryption
emisor:/c = US/O = DigiCert Inc/ou =www.DigiCert.com/cn=DigiCert Sha2 Extended Validation Server CA
Last Update: ago 25 17:04: 24 2016 GMT
próxima actualización: Sep1 17:00: 00 2016 GMT
extensiones CRL:
X509v3 autoridad identificador de clave:
keyid: 3D: D3:50: A5: D6: a0: ad: EE: F3:4a: 60:0A: 65: D3:21: D4: F8: F8: D6:
X509v3 número de CRL:
1036
X509v3 emitir punto de distrubución: crítico
04.2.0..http://crl3.DigiCert.com/sha2-EV-Server-G1.CRL
certificados revocados:
número de serie: 0983906AA7BF5F294B1BB4EC71AC769C
fecha de revocación: Jul 16 19:09: 26 2014 GMT
número de serie: 0C340284CF828B2E7D72AB750D17FCA1
revocación fecha: Sep 14 08:02: 02 2014 GMT
<SNIP></SNIP>
- Compruebe que el S/NS en la CRL no devuelve una coincidencia:
$ OpenSSL CRL-inform DER-Text-in sha2-EV-Server-G1. CRL | grep 0793EC89595DBA606D1FD9F7BE389802
$ < (no=""> </>
Ejemplo de dónde puede manifestarse este comportamiento:
Uno de los escenarios en los que este comportamiento puede causar problemas es cuando el perfil de descifrado SSL está configurado para bloquear la sesión con el estado de certificado "desconocido":
A continuación se muestra el ejemplo de error de certificado visto en el usuario final al acceder a github.com con el certificado marcado como UKNOWN y la conexión bloqueada por el cortafuegos: