復号化からサーバー証明書を除外した後、SSL web サイトが機能しない
38296
Created On 09/25/18 19:47 PM - Last Modified 06/08/23 00:55 AM
Symptom
兆候
ssl 復号化からサイトを除外する方法についての以下の指示にもかかわらず、いくつかの ssl ウェブサイトは、URL が含まれていた後でさえもオープンしていません。
web サイトのオープンに失敗すると、SSL 復号化から除外されたアプリケーションのリストにあるパロアルトネットワークによって暗黙的に除外した url が当てはまる
診断
url カテゴリが復号化ルールに含まれている場合、その url カテゴリに一致する web サイトのトラフィックがデバイスで初めてヒットしたときに、その web サイトが SSL 除外証明書の設定を使用して復号化から除外されている場合でも、ファイアウォールはスキップされませんクライアント Hello パケットに含まれる SNI (サーバー名の表示) に基づく復号化。
ファイアウォールは依然として接続のフォワードプロキシを行い、サポートされている暗号スイートの一覧をサーバーに送信します。
サーバーがファイアウォールによって提案されたクライアント hello を受け入れ、サーバー hello/証明書を送信すると、ファイアウォールは、共通名のサーバー証明書を検査し、構成済みの SSL 除外証明書設定と照合します。一致する場合、サーバーアドレスと TCP ポートは、一致する特定のルールの除外キャッシュに追加されます。この除外キャッシュは、同じパラメータに一致する将来の接続に使用され、ファイアウォールがプロキシをスキップすることもあります。
サーバーがファイアウォールによって送信 (上書き) された暗号をサポートしていない場合、サーバーは SSL エラーメッセージを送信するか、TCP RST を接続に送信するだけです。
Resolution
ファイアウォールがサーバーによってサポートされていない暗号スイートを送信している場合は、SSL 除外証明書の設定に証明書を含めた後でも、次の手順を実行してこの問題を解決します。
- [オブジェクトの内部] > [url] カテゴリで、[追加] をクリックして新しいカスタム URL カテゴリ-ex ExcludeSSLdescryption を作成し、復号化しない場合はこのカテゴリ内の url を追加します。
- [ポリシーの内部] > [復号化] では、残りのトラフィックを解読するために使用されている SSL 復号規則の上に、暗号化解除規則を作成します。新しく作成した url カテゴリExcludeSSLdescryption を url カテゴリに配置します。このように、URL カテゴリのトラフィックは、復号化ポリシーから除外されます。
- この変更を有効にするためにコミットします。