SSL 网站在将服务器证书排除在解密后不工作
38288
Created On 09/25/18 19:47 PM - Last Modified 06/08/23 00:55 AM
Symptom
症状
尽管在 ssl 排除证书中包含了以下说明, 但一些 ssl 网站仍未打开, 即使在如何将站点排除在 ssl 解密 之外
网站无法打开对于由帕洛阿尔托网络提供的隐式排除的 url 是正确的, 在SSL 解密排除的应用程序列表中
诊断
如果解密规则中包含 url 类别, 则当与该 url 类别匹配的网站的通信量在设备上第一次命中时, 即使该网站被排除在使用 SSL 排除证书设置的解密之外, 防火墙也不会跳过基于 SNI (服务器名称指示) 的解密包括在客户端 Hello 包中。
防火墙仍然对连接进行转发代理, 并将支持的密码套件列表发送到服务器。
如果服务器接受防火墙建议的客户端 hello, 并发送服务器 hello/证书, 则防火墙将检查公用名称的服务器证书, 并将其与配置的 SSL 排除证书设置相匹配。如果匹配, 则服务器地址和 TCP 端口将添加到排除缓存中, 以满足它们匹配的特定规则. 此排除缓存随后用于匹配相同参数的将来连接, 并将导致防火墙甚至跳过代理。
如果服务器不支持防火墙发送 (覆盖) 的密码套件, 服务器可能会发送 SSL 错误消息, 或者只发送一个 TCP RST 到该连接。
Resolution
如果防火墙正在发送由服务器不支持的密码套件, 即使在将证书包括在 SSL 排除证书设置之后, 也要执行以下步骤来解决此问题。
- "内部对象 > url" 类别中, 单击 "添加" 创建新的自定义 URL 类别-前 ExcludeSSLdescryption, 然后添加不希望解密的此类别中的 url。
- 内部策略 >> 解密, 在 SSL 解密规则的上方创建一个不解密规则, 用于解密其余通信量。将新创建的 url 类别- ExcludeSSLdescryption 放在 url 类别中. 这样, URL 类别的通信量将从解密策略中排除。
- 提交此更改以生效。