Google und Yahoo Domains sind nicht vertrauenswürdig mit SSL-Entschlüsselung und FIPS-Modus aktiviert
Resolution
Symptom
Beim Surfen auf Google oder Yahoo-Websites mit SSL-Entschlüsselung und FIPS-Modus aktiviert, stellt die Firewall dem Client das Forward-Untrust-Zertifikat vor.
Erklärung
Sowohl Google als auch Yahoo präsentieren Root-Zertifikate mit 1024-Bit-Schlüsseln in ihren Zertifikats Ketten. Seit 2010 sind Zertifikate mit 1024-Bit-Schlüsseln nicht FIPS-konform, und daher wird eine Firewall im FIPS-Modus den Zertifikaten nicht trauen.
Googles Zertifikatskette
$ OpenSSL s_client-Connect Google.com:443
Connected (00000003)
Tiefe = 2 C = US, O = GeoTrust Inc., CN = GeoTrust Global ca
Verifizierungs Fehler: Num = 20: unfähig, lokale Emittentenbescheinigung zu erhalten,
überprüfen Rückgabe: 0
---
ZERTIFIKATSkette
0 s:/C = US/ ST = California/L = Mountain View/O = Google Inc/CN = *. Google. com
i:/c = US/o = Google Inc/CN = Google Internet Authority G2
1 s:/c = US/o = Google Inc/CN = Google Internet Authority G2
i:/c = US/o = GeoTrust Inc./cn = GeoTrust Global ca
2 s:/c = US/o = GeoTrust Inc./CN = GeoTrust Global CA
i:/C = US/O = Equifax/ou = Equifax sichere Zertifikatsbehörde
Equifax sichere ZertifikatsBehörde
$ OpenSSL x509-in Equifax_Secure_Certificate_Authority. PEM-Text-noout-
Zertifikat:
Daten:
Version: 3 (0X2)
Seriennummer: 903804111 (0X35def4cf) Signatur-
Algorithmus: sha1WithRSAEncryption
Emittent: C = US, O = Equifax, ou = Equifax Secure Zertifikats Authority
Gültigkeit
nicht vor: Aug 22 16:41: 51 1998 GMT
nicht nach: Aug 22 16:41:51 2018 GMT
-Betreff: C = US, O = Equifax, ou = Equifax sichere ZertifikatsBehörde
Betreff Public Key Info:
Public Key Algorithmus: rsaencryption
Public-Key: (1024 Bit )
Yahoo-Zertifikatskette
$ OpenSSL s_client-Connect Yahoo.com:443
Connected (00000003)
Tiefe = 2 C = US, O = "VeriSign, Inc.", ou = VeriSign Treuhand Netzwerk, OU = "(C) 2006 VeriSign, Inc.-nur für autorisierte Nutzung", CN = VeriSign Klasse 3 Public Primary Zertifizierungs Authority-G5
Überprüfen Sie Fehler: Num = 20: unfähig, lokale emittentenbescheinigung zu erhalten,
Überprüfen Sie die Rückgabe: 0
---
Zertifikatskette
0 s:/C = US/St = California/L = Sunnyvale/o = Yahoo Inc./ou = Informationstechnologie/CN =www.yahoo.com
i:/C = US/o = Symantec Corporation/OU = Symantec Trust Network/CN = Symantec Klasse 3 Secure Server CA-G4
1 s:/C = US/O = Symantec Corporation/ou = Symantec Trust Network/CN = Symantec Klasse 3 Secure Server ca-G4
i:/C = US/O = VeriSign, Inc./ou 2006 VeriSign, Inc.-für die autorisierte Nutzung nur/CN = VeriSign Klasse 3 Public Primary Zertifizierungs Authority-G5
2 s:/C = US/O = VeriSign, Inc./ou = VeriSign Trust Network/ou = (C) 2006 VeriSign, Inc.-für autorisierte Nutzung nur/CN = VeriSign Klasse 3 Public Primary Zertifizierungsstelle-G5
i:/C = US/O = VeriSign, Inc./ou = die öffentliche primäre Zertifizierungsstelle der Klasse 3
Die öffentliche erst Zertifizierungsstelle der Klasse 3
$ OpenSSL x509-in Class-3-Public-Primary-Certification-Authority. PEM-Text-noout
Zertifikat:
Daten:
Version: 1 (0X0)
Seriennummer:
3C: 91:31: CB: 1f: F6: D0:1B: 0E: 9a: B8: D0:44: BF: 12: Be
Signature Algorithmus: sha1WithRSAEncryption
Emittent: C = US, O = VeriSign, Inc., ou = Klasse 3 Public Gültigkeit der Behörde
nicht vor: Jan 29 00:00: 00 1996 GMT
nicht nach: Aug 2 23:59:59 2028 GMT-
Betreff: C = US, O = VeriSign, Inc., ou = Klasse 3 öffentliche primäre ZertifizierungsBehörde
Betreff Public Key Info:
Public Key Algorithmus: rsaencryption
Public-Key: (1024 Bit )
Dieses Problem zu umgehen
Es gibt keine Möglichkeit, die Firewall zu zwingen, Zertifikate mit 1024-Bit-Schlüsseln zu vertrauen, wenn der FIPS-Modus aktiviert ist.
Sie können Google und Yahoo-Websites von der SSL-Entschlüsselung mit folgenden Schritten befreien:
1. Erstellen Sie eine benutzerdefinierte URL-Kategorie auf der Seite Objekte > BenutzerDefinierte Objekte, die die folgenden URLs enthält:
*. Google.com
*. yahoo.com
2. Erstellen Sie eine neue decyption-Richtlinie auf der Policy > Entschlüsselungs Seite.
ein. Setzen Sie die Quelle und das Ziel, um die bestehenden Entschlüsselungs Richtlinien anzupassen.
b. Setzen Sie die URL-Kategorie auf die in Schritt 1 erstellte Kategorie Custom.
c. Wählen Sie unter der Registerkarte Optionen "kein entschlüsselt".
d. Platzieren Sie die "No Entschlpt"-Politik über die bestehende Entschlüsselungs Politik und verpflichten Sie sich.