SSL-Website funktioniert nicht nach Ausschluss des Server-Zertifikats von der Entschlüsselung
SSL-Website funktioniert nicht nach Ausschluss des Server-Zertifikats von der Entschlüsselung
38298
Created On 09/25/18 19:47 PM - Last Modified 06/08/23 00:55 AM
Symptom
Symptome
Einige SSL-Websites öffnen sich nicht, auch wenn die URL in SSL-exclude-CERT aufgenommen wurde, trotz folgender Anweisungen, wie man eine Website von der SSL- Entschlüsselung ausschließt
Die Nichteröffnung der Websites gilt für implizit ausgeschlossene URLs, die von Palo Alto Networks in einer Liste von Anwendungen, die von der SSL-Entschlüsselung ausgenommen sind, bereitgestellt werden
Diagnose
Wenn eine URL-Kategorie in den Entschlüsselungs Regeln enthalten ist, wenn der Traffic für eine Website, die zu dieser URL-Kategorie passt, zum ersten Mal auf dem Gerät trifft, auch wenn diese Website mit SSL-Exclude-Zertifikats Einstellungen von der Entschlüsselung ausgeschlossen ist, wird die Firewall nicht überspringen. Entschlüsselung auf Basis von SNI (Server Name-Indikation), die im Client Hello Packet enthalten ist.
Die Firewall macht immer noch einen Forward-Proxy für die Verbindung und sendet eine Liste der UnterStützten Chiffrier Suiten an den Server.
Wenn der Server den Client Hello akzeptiert, der von der Firewall vorgeschlagen wird, und einen Server Hello/Certificate sendet, prüft die Firewall dann das Server-Zertifikat für den GemeinSamen Namen und passt es mit den konfigurierten SSL-exklusiv-Zertifikats Einstellungen an. Wenn es passt, werden Server Adresse und TCP-Port in den Ausschluss- Cache für die jeweilige Regel, die Sie übereinstimmen , aufgenommen. Dieser Ausschluss-Cache wird dann für zukünftige Verbindungen verwendet, die den gleichen Parametern entsprechen, und führt dazu, dass die Firewall den Proxy sogar überspringt.
Falls der Server die Chiffrier Suiten nicht unterstützt, die von der Firewall gesendet (überschrieben) werden, kann der Server eine SSL-Fehlermeldung senden oder einfach einen TCP-RST an die Verbindung senden.
Resolution
Wenn die Firewall Chiffrier Suiten sendet, die vom Server nicht unterstützt werden, auch nach der Aufnahme des Zertifikats in die SSL-Exclude-Zertifikats Einstellungen, dann führen Sie die folgenden Schritte durch, um dieses Problem zu lösen.
Insider-Objekte > URL-Kategorie, klicken Sie auf HinzuFügen, um eine neue benutzerdefinierte URL-Kategorie zu erstellen-Ex ExcludeSSLdescryption, dann fügen Sie die URLs in dieser Kategorie, die Sie nicht entschlüsseln wollen.
Innerhalb der RichtLinien > Entschlüsselung, erstellen Sie eine nicht-Entschlüsselungs Regel über der SSL-Entschlüsselungs Regel, die für die Entschlüsselung des restlichen Datenverkehrs verwendet wird. Platzieren Sie die neu erstellte URL-Kategorie- Excludessldescryption in der URL-Kategorie. Auf diese Weise wird der Traffic für die URL-Kategorie von der Entschlüsselungs Richtlinie ausgeschlossen.
Diese Änderung zu begehen, damit Sie in Kraft tritt.