Sitio Web SSL no funciona después de excluir el certificado de servidor de desencriptación
Sitio Web SSL no funciona después de excluir el certificado de servidor de desencriptación
38290
Created On 09/25/18 19:47 PM - Last Modified 06/08/23 00:55 AM
Symptom
Síntomas de
Algunos sitios Web SSL no se abren incluso después de que la URL ha sido incluida en SSL-excluir-CERT, a pesar de las siguientes instrucciones en Cómo excluir un sitio de desencriptación SSL
La falta de apertura de los sitios web es válida para las direcciones URL excluidas implícitamente proporcionadas por Palo Alto Networks en la lista de aplicaciones excluidas del descifrado SSL
Diagnóstico
Si se incluye una categoría de URL en las reglas de descifrado, cuando el tráfico de un sitio web que coincida con esa categoría de URL afecta por primera vez en el dispositivo, incluso si ese sitio web está excluido de la descodificación mediante la configuración de certificado de exclusión SSL, el cortafuegos no se omitirá desencriptación basada en el SNI (indicación del nombre del servidor) incluido en el paquete cliente Hello.
El cortafuegos todavía hace un proxy Forward para la conexión y envía una lista de las suites de cifrado admitidas al servidor.
Si el servidor acepta el cliente Hello propuesto por el firewall, y envía un servidor Hello/Certificate, el Firewall inspecciona el certificado del servidor para el nombre común y lo iguala contra la configuración de certificado de exclusión SSL configurada. Si coincide, la dirección del servidor y el puerto TCP se agregan a la caché de exclusión para la regla concreta que coinciden. Esta caché de exclusión se utiliza para las conexiones futuras que coincidan con los mismos parámetros y hará que el cortafuegos incluso omita el proxy.
En caso de que el servidor no admita las suites de cifrado enviar (sobrescrito) por el firewall, el servidor puede enviar un mensaje de error SSL o simplemente enviar un TCP RST a la conexión.
Resolution
Si el cortafuegos está enviando las suites de cifrado que el servidor no admite, incluso después de incluir el certificado en la configuración de certificado de exclusión de SSL, realice los pasos siguientes para resolver este problema.
Dentro de los objetos > categoría de URL, haga clic en Agregar para crear una nueva categoría de URL personalizada-ex ExcludeSSLdescryption, a continuación, agregue las URLs dentro de esta categoría que no desea descifrar.
Dentro de las directivas > desencriptación, cree una regla sin descifrar por encima de la regla de descifrado SSL que se utiliza para descifrar el resto del tráfico. Coloque la categoría URL recién creada- ExcludeSSLdescryption en la categoría URL. De esta forma, el tráfico de la categoría URL quedará excluido de la política de desencriptación.