Los dominios de Google y Yahoo no son confiables con el descifrado SSL y el modo FIPS activado
Resolution
Síntoma
Al navegar por los sitios de Google o Yahoo con el descifrado SSL y el modo FIPS habilitado, el Firewall presenta el certificado de desconfianza Forward al cliente.
Explicación
Tanto Google como Yahoo presentan certificados raíz con claves de bits de 1024 en sus cadenas de certificados. Desde 2010, los certificados con claves de bits 1024 no son compatibles con FIPS y, por lo tanto, un cortafuegos en el modo FIPS no confiará en los certificados.
Cadena de certificados de Google
$ OpenSSL s_client-Connect Google.com:443
conectado (00000003)
profundidad = 2 C = US, O = GeoTrust Inc., CN = GeoTrust global CA
verificar error: Num = 20: no se puede obtener el certificado de emisor local
verificar retorno: 0
---
cadena de certificados
0 s:/C = US/ ST = California/L = Mountain View/O = Google Inc/CN = *. Google. com
i:/C = nos/o = Google Inc/CN = Google Internet Authority G2
1 s:/c = us/o = Google Inc/CN = Google Internet autoridad G2
I:/c = us/o = GeoTrust Inc./cn = GEOtrust global CA
2 s:/C = US/o = GeoTrust Inc./CN = geoTrust global CA
i:/C = US/O = Equifax/ou = Equifax autoridad de certificación segura
Equifax Secure Certificate Authority
$ OpenSSL X509-in Equifax_Secure_Certificate_Authority. pem-Text-noout
Certificate:
Data:
version: 3 (0X2)
número de serie: 903804111 (0x35def4cf) algoritmo de
firma: sha1WithRSAEncryption
emisor: C = US, O = Equifax, ou = Equifax seguro certificado
validez autoridad
no antes: ago 22 16:41: 51 1998 GMT
no después: ago 22 16:41:51 2018 GMT
tema: C = US, O = Equifax, ou = Equifax autoridad de certificado segura
asunto información clave pública:
algoritmo de clave pública: RsaEncryption
público-clave: (1024 bit)
Cadena de certificados de Yahoo
$ OpenSSL s_client-Connect Yahoo.com:443
conectado (00000003)
profundidad = 2 C = US, O = "VeriSign, Inc.", ou = Verisign Trust Network, ou = "(C) 2006 VeriSign, Inc.-sólo para uso autorizado", CN = Verisign clase 3 autoridad pública de certificación primaria-G5
verificar error: Num = 20: no se puede obtener el certificado de emisor local
verificar retorno: 0
---
cadena de certificados
0 s:/c = US/St = California/L = Sunnyvale/O = Yahoo Inc./ou = Information Technology/CN =www.Yahoo.com
i:/c = US/O = Symantec Corporation/OU = Symantec Trust Network/CN = Symantec clase 3 Secure Server CA-G4
1 s:/c = US/O = Symantec Corporation/ou = Symantec Trust Network/CN = Symantec clase 3 Secure Server CA-G4
i:/C = US/O = VeriSign, Inc./ou = Verisign Trust Network/ou = (C) 2006 VeriSign, Inc.-para uso autorizado solamente/CN = VeriSign clase 3 autoridad de certificación primaria pública-G5
2 s:/c = US/O = VeriSign, Inc./ou = Verisign Trust Network/ou = (C) 2006 VeriSign, Inc.-sólo para uso autorizado/CN = Verisign clase 3 Public primario Autoridad de certificación-G5
i:/C = US/O = VeriSign, Inc./ou = autoridad de certificación primaria pública de clase 3
Autoridad de certificación primaria pública de clase 3
$ OpenSSL X509-in Class-3-Public-Primary-Certification-Authority. pem-Text-noout
Certificado:
datos:
versión: 1 (0X0)
número de serie:
3C: 91:31: CB: 1F: F6: debe: 1B: 0E: 9A: B8: ha: 44: BF: 12: ser
algoritmo de firma: sha1WithRSAEncryption
emisor: C = US, O = VeriSign, Inc., ou = clase 3 certificación primaria pública Validez de la autoridad
no antes: Ene 29 00:00: 00 1996 GMT
no después: ago 2 23:59:59 2028 GMT
asunto: C = US, O = VeriSign, Inc., ou = clase 3 autoridad de certificación primaria pública
tema clave pública info:
algoritmo de clave pública: RsaEncryption
Public-clave: (1024 bit)
Solución alternativa
No hay manera de forzar al firewall a confiar certificados con claves de bits de 1024 cuando el modo FIPS está habilitado.
Puede eximir a los sitios de Google y Yahoo de la desencriptación SSL usando los siguientes pasos:
1. Cree una categoría de URL personalizada en la página objetos > Custom Objects que contiene las siguientes URLs:
*. Google.com
*. Yahoo.com
2. Cree una nueva Directiva de decyption en la página de directivas > descifrado.
un archivo. Defina el origen y el destino para que coincidan con la Directiva de descifrado existente.
b. Establezca la categoría URL en la categoría personalizada creada en el paso 1.
c. En la ficha Opciones, seleccione "no descifrar".
d.. Coloque la Directiva "no descifrar" por encima de la política de descifrado existente y commit.