Le site Web SSL ne fonctionne pas après l'exclusion du certificat de serveur du décryptage

Le site Web SSL ne fonctionne pas après l'exclusion du certificat de serveur du décryptage

38292
Created On 09/25/18 19:47 PM - Last Modified 06/08/23 00:55 AM


Symptom


Symptômes

Certains sites Web SSL ne s'ouvrent pas même après que l'URL a été incluse dans SSL-Exclude-CERT, malgré les instructions suivantes pour exclure un site du décryptage SSL

 

L'échec de l'ouverture des sites Web est vrai pour les URL implicitement exclues fournies par les réseaux Palo Alto dans la liste des applications exclues du décryptage SSL

Diagnostic

Si une catégorie d'url est incluse dans les règles de décryptage, lorsque le trafic d'un site Web correspondant à cette catégorie d'url frappe pour la première fois sur le périphérique, même si ce site est exclu du décryptage à l'Aide des paramètres SSL-Exclude-Certificate, le pare-feu ne sautera pas décryptage basé sur SNI (nom du serveur d'Indication) inclus dans le client Bonjour paquet.

 

Le pare-feu effectue toujours un proxy avant pour la connexion et envoie une liste de suites de chiffrement prises en charge au serveur.

 

Si le serveur accepte le client Hello proposé par le pare-feu et envoie un serveur Hello/certificat, le pare-feu inspecte ensuite le certificat de serveur pour le nom commun et le compare aux paramètres de certificat d'exclusion SSL configurés. S'il correspond, l'adresse du serveur et le port TCP sont ajoutés au cache d'exclusion pour la règle particulière qu'ils correspondent. Ce cache d'exclusion est ensuite utilisé pour les connexions futures correspondant aux mêmes paramètres et entraînera le pare-feu à sauter même le proxy.

 

Dans le cas où le serveur ne prend pas en charge les suites Cipher Send (écrasées) par le pare-feu, le serveur peut envoyer un message d'erreur SSL ou simplement envoyer une TVD TCP à la connexion.

Resolution


 

Si le pare-feu envoie des suites de chiffrement qui ne sont pas prises en charge par le serveur, même après avoir inclus le certificat dans les paramètres SSL-Exclude-Certificate, effectuez les étapes suivantes pour résoudre ce problème.

 

  1. Inside Objects > catégorie URL, cliquez sur Ajouter pour créer une nouvelle catégorie d'url personnalisée-ex ExcludeSSLdescryption, puis ajoutez les URL à l'intérieur de cette catégorie que vous ne souhaitez pas décrypter.Screen Shot 2016-04-04 à 10.15.25 AM. png

  2. Inside Policies > decryption, créez une règle de non-décryptage au-dessus de la règle de décryptage SSL qui est utilisée pour décrypter le reste du trafic. Placez la catégorie d'URL nouvellement créée- ExcludeSSLdescryption dans la catégorie URL. De cette façon, le trafic de la catégorie URL sera exclu de la stratégie de décryptage.Screen Shot 2016-04-04 à 10.13.44 AM. png

  3. Engagez cette modification pour qu'elle prenne effet.

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldLCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language