Google et Yahoo domaines ne sont pas fiables avec le décryptage SSL et le mode FIPS activé
Resolution
Symptôme
Lorsque vous naviguez vers des sites Google ou Yahoo avec le décryptage SSL et le mode FIPS activé, le pare-feu présente le certificat de non-confiance vers le client.
Explication
Les deux certificats de racine de Google et de Yahoo présentent avec des clefs de 1024 bits dans leurs chaînes de certificat. Depuis le 2010, les certificats avec les clés de bits 1024 ne sont pas compatibles FIPS, et par conséquent, un pare-feu en mode FIPS ne fera pas confiance aux certificats.
La chaîne de certificats de Google
$ OpenSSL S_Client-Connect Google.com:443 Connection
(00000003)
Depth = 2 C = US, O = GeoTrust Inc., CN = GeoTrust Global ca
vérifier erreur: num = 20: impossible d'obtenir le certificat d'émetteur local
Vérifier la déclaration: 0
---chaîne de
certificats
0 s:/C = US/ ST = California/L = Mountain View/O = Google Inc/CN = *. google. com
i:/C = nous/O = Google Inc/CN = Google Internet Authority G2
1 s:/c = nous/o = Google Inc/CN = Google Internet Authority G2
I:/c = nous/o = GeoTrust Inc./CN = GeoTrust Global ca
2 s:/C = US/o = GeoTrust Inc./CN = GeoTrust Global ca
i:/C = US/O = Equifax/ou = Equifax Secure Certificate Authority
Equifax Secure Certificate Authority
$ OpenSSL x509-in Equifax_Secure_Certificate_Authority. pem-Text-noout
Certificate:
Data:
version: 3 (0X2)
numéro de série: 903804111 (0x35def4cf) algorithme de
signature: sha1WithRSAEncryption
Emetteur: C = US, O = Equifax, ou = Equifax Secure Certificate Authority
validité
not Before: Aug 22 16:41: 51 1998 GMT
pas après: août 22 16:41:51 2018 GMT
objet: C = US, O = Equifax, ou = Equifax Secure Certificate
Subject objet clé publique info:
clé publique algorithme: rsaEncryption
Public-Key: ( 1024 bits)
La chaîne de certificats de Yahoo
$ OpenSSL S_Client-Connect yahoo.com:443
connecté (00000003)
profondeur = 2 C = US, O = "VeriSign, Inc.", ou = VeriSign Trust Network, ou = "(C) 2006 VeriSign, Inc.-pour usage autorisé uniquement", CN = VeriSign Class 3 Public Primary Certification Authority-G5
vérifier l'erreur: num = 20: impossible d'obtenir le certificat d'émetteur local
Vérifier la déclaration: 0
---
chaîne de certificats
0 s:/c = US/St = California/L = Sunnyvale/O = Yahoo Inc./ou = technologies de l'Information/CN =www.yahoo.com
i:/c = US/O = Symantec Corporation/ou = Symantec Trust Network/CN = Symantec Class 3 Secure Server ca-G4
1 s:/c = nous/o = Symantec Corporation/ou = Symantec Trust Network/CN = Symantec Class 3 Secure Server ca-G4
i:/c = nous/o = VeriSign, Inc./ou = VeriSign Trust Network/ou = (C) 2006 VeriSign, Inc.-pour usage autorisé seulement/CN = VeriSign Class 3 Public Primary Certification Authority-G5
2 s:/C = US/O = VeriSign, Inc./ou = VeriSign Trust Network/ou = (C) 2006 VeriSign, Inc.-pour usage autorisé uniquement/CN = VeriSign Class 3 Public Primary Autorité de certification-G5
i:/C = US/O = VeriSign, Inc./ou = autorité de certification primaire publique de classe 3
Autorité de certification primaire publique de classe 3
$ OpenSSL x509-in Class-3-Public-Primary-Certification-Authority. pem-Text-noout
Certificat:
données:
version: 1 (0x0)
numéro de série:
3C: 91:31: CB: 1F: F6: D0:1b: 0E: 9A: B8: D0:44: BF: 12: be
Signature Algorithm: sha1WithRSAEncryption
Emetteur: C = US, O = VeriSign, Inc., ou = certification primaire publique de classe 3 Validité de l'Autorisation
pas avant: Jan 29 00:00: 00 1996 GMT
pas après: août 2 23:59:59 2028 GMT
objet: C = US, O = VeriSign, Inc., ou = classe 3 public autorité de certification primaire
sujet clé publique info:
Public Key algorithme: rsaEncryption
Public-Key: (1024 bits)
Pour résoudre ce problème
Il n'Existe aucun moyen de forcer le pare-feu à approuver les certificats avec les touches de bits 1024 lorsque le mode FIPS est activé.
Vous pouvez exempter les sites Google et Yahoo du décryptage SSL en procédant comme suit:
1. Créez une catégorie d'URL personnalisée sur la page objets > objets personnalisés qui contient les URL suivantes:
*. google.com
*. yahoo.com
2. Créez une nouvelle stratégie decyption sur la page Policies > decryption.
une barre d’outils. Définissez la source et la destination pour qu'elles correspondent à la stratégie de décryptage existante.
b. Définissez la catégorie d'URL sur la catégorie personnalisée créée à l'Étape 1.
c. Sous l'onglet options, sélectionnez "no deCrypt".
d. Placez la stratégie «pas de décryptage» au-dessus de la stratégie de décryptage existante et commettez.