Comportement PAN-OS des CRL avec extension IDP: certificat marqué inconnu "S'il n'est pas répertorié dans la CRL"
Resolution
Selon le comportement actuel de la mise en œuvre, si le S/N d'un certificat n'est pas répertorié dans une CRL, qui a une extension IDP, l'état du certificat est marqué comme inconnu.
Ce comportement est conforme à la RFC, dans laquelle le certificat peut être marqué comme inconnu si la CRL a une extension IDP et que les implémentations ne sont pas requises pour prendre en charge cette extension.
RFC 5280
https://Tools.ietf.org/html/rfc5280
5.2.5. Émission du point de distribution
Le point de distribution émetteur est une extension de LCR critique qui identifie le point de distribution de LCR et la portée d'une CRL particulière, et indique si le CRL couvre la révocation pour les certificats d'entité finale uniquement, les certificats d'AUTORITÉ de certification uniquement, les certificats d'attribut seulement, ou un ensemble limité de codes de raison. Bien que l'extension soit critique, les implémentations conformes ne sont pas requises pour prendre en charge cette extension. Toutefois, les implémentations qui ne prennent pas en charge cette extension doivent soit traiter l'état de tout certificat non répertorié sur cette CRL comme inconnu, soit localiser une autre CRL qui ne contient pas d'extensions critiques non reconnues.
Analyse de ce comportement sur le pare-feu:
Les journaux suivants peuvent être vus dans sslmgr. log:
2016-08-26 17:09:01.582 + 1000 extension IDP présent dans CRL http://crl3.DigiCert.com/SHA2-ev-Server-G1.crl afin de définir l'état comme inconnu pour les certificats non listés Serial [0793EC89595DBA606D1FD9F7BE389802].
Ici, 07:93: EC: 89:59:5D: BA: 60:6D: 1F: D9: F7: BE: 38:98:02 est le S/N du certificat www.DigiCert.com.
Comment vérifier
- "SHA2-ev-Server-G1. crl" est le LCR en cours de téléchargement (comme dans sslmgr. log) pour ces sites Web.
- Téléchargez la CRL sur votre ordinateur local à l'Aide du lien.
- Vérifiez si le LCR a l'extension IDP:
$ OpenSSL CRL-informez der-Text-in SHA2-ev-Server-G1. liste de révocation de
certificats CRL:
version 2 (0x1) algorithme de
signature: sha256WithRSAEncryption
émetteur:/c = US/O = DigiCert Inc/ou =www.DigiCert.com/CN=DigiCert SHA2 Extended Validation Server ca
dernière mise à jour: Aug 25 17:04: 24 2016 GMT
prochaine mise à jour: Sep1 17:00: 00 2016 GMT
Extensions CRL:
identificateur de clé de l'Autorité X509v3:
KeyId: 3D: D3:50: A5: D6: a0: AD: EE: F3:4a: 60:0A: 65: D3:21: D4: F8: F8: D6:0F
X509v3 numéro de LCR:
1036
X509v3 émission distrubution point: critique
04.2.0..http://crl3.DigiCert.com/SHA2-ev-Server-G1.crl
certificats révoqués:
numéro de série: 0983906AA7BF5F294B1BB4EC71AC769C
Date de révocation: Juil 16 19:09: 26 2014 GMT
numéro de série: 0C340284CF828B2E7D72AB750D17FCA1
Date de révocation: Sep 14 08:02: 02 2014 GMT
<SNIP></SNIP>
- La vérification de la S/NS dans la CRL ne renvoie pas de correspondance:
$ OpenSSL CRL-informez der-Text-in SHA2-ev-Server-G1. crl | grep 0793EC89595DBA606D1FD9F7BE389802
$ < (no=""> </>
Exemple de l'endroit où ce comportement peut se manifester:
L'un des scénarios où ce comportement peut provoquer des problèmes est lorsque le profil de décryptage SSL est défini sur bloquer la session avec l'état du certificat «inconnu»:
Voici L'exemple d'erreur de certificat vu sur l'utilisateur final lors de l'accès à github.com avec le certificat marqué comme Uknown et la connexion bloquée par le pare-feu: