Google と Yahoo のドメインは、SSL 復号化と FIPS モードが有効になって信頼されている
Resolution
問題の状況
SSL 復号化と FIPS モードが有効になっている Google または Yahoo のサイトを参照すると、ファイアウォールはクライアントにフォワード Untrust 証明書を提示します。
詳細について
Google と Yahoo の両方が証明書チェーンの1024ビットキーを持つルート証明書を提示します。2010以降、1024ビットキーを持つ証明書は fips 準拠ではないため、fips モードのファイアウォールは証明書を信頼しません。
Google の証明書チェーン
$ openssl の s_client-接続 google.com:443 接続
(00000003)
深さ = 2 C = 米国、O = GeoTrust 株式会社、CN = GeoTrust グローバル CA
検証エラー: num = 20: ローカル発行者証明書を取得できません:
0
---
証明書チェーン
0 s:/C = 米国/ST = カリフォルニア/L = マウンテンビュー/o = グーグル社/cn = *. グーグル .com
i:/C = 米国/o = グーグル社/cn = google のインターネット局 G2
1 s:/c = 米国/o = google 社/CN = google のインターネット権限 G2 の
i:/c = 米国/o = GeoTrust 株式会社/CN = GeoTrust グローバル CA
2 秒:/c = 米国/o を =GeoTrust 社/CN = GeoTrust グローバル CA
i:/C = 米国/O = Equifax/OU = Equifax セキュア認証局
Equifax セキュア認証局
$ openssl の x509-Equifax_Secure_Certificate_Authority-text-noout
証明書:
データ:
バージョン: 3 (0x2)
シリアル番号: 903804111 (0x35def4cf)
署名アルゴリズム: sha1WithRSAEncryption
発行元: C = 米国、O = Equifax、OU =Equifax セキュリティで保護された証明機関の
有効期限
: 8 月 22 16:41: 51 1998 GMT の
後: 8 月 22 16:41:51 2018 GMT
件名: C = 米国、O = Equifax、OU = Equifax セキュリティで保護された証明機関
サブジェクト公開キー情報:
公開キーアルゴリズム: rsaEncryption
公開キー: (1024 ビット)
ヤフーの証明書チェーン
$ openssl の s_client-接続 yahoo.com:443
(00000003)
深さ = 2 C = 米国、O = "ベリサイン社"、ou = ベリサイントラストネットワーク、ou = "(C) 2006 ベリサイン社-承認された使用のみ"、CN = ベリサインクラス3パブリックプライマリ証明機関-G5
の検証エラー: num = 20: ローカル発行者証明書を取得できません:
0
---
証明書チェーン
0 s:/c = 米国/ST = カリフォルニア/L = サニーベール/o = ヤフー株式会社/OU = 情報技術/CN =www.yahoo.com
i:/c = 米国/o = シマンテック株式会社/OU = シマンテックトラストネットワーク/CN = シマンテッククラス3セキュアサーバ CA-G4
1 s:/c = 米国/o = シマンテック株式会社/ou = シマンテックトラストネットワーク/CN = シマンテッククラス3セキュアサーバーの CA-G4 の
i:/c = 米国/o の = ベリサイン、株式会社/OU = ベリサインのトラストネットワーク/ou = (c) の2006ベリサイン株式会社-承認された使用のみ/CN = ベリサインクラス3パブリックプライマリ証明機関-G5
2 s:/c = 米国/O = ベリサイン、株式会社/OU = ベリサイントラストネットワーク/OU = (C) 2006 ベリサイン社-承認された使用のみ/CN = ベリサインクラス3パブリックプライマリ証明機関-G5
i:/C = 米国/O = ベリサイン社/OU = クラス3パブリックプライマリ証明機関
クラス3パブリックプライマリ証明機関
$ openssl x509-Class-3-Public-Primary-Certification-Authority-テキスト-noout
証明書:
データ:
バージョン: 1 (0x0)
シリアル番号:
3c:91:31: cb: 1f: f6: d0: 1b: 0e: 9a: b8: d0:44: bf:12:
署名アルゴリズム be: sha1WithRSAEncryption 発行者
: C = 米国、O = ベリサイン社、OU = クラス3公開一次認証権限の
妥当性の
前に: Jan 29 00:00: 00 1996 GMT の
後: 8 月 2 23:59:59 2028 GMT
題目: C = 米国、O = ベリサイン社、OU = クラス3パブリックプライマリ証明機関
サブジェクト公開キー情報: 公開キー
アルゴリズム: rsaEncryption 公開キー
: (1024 ビット)
回避策
FIPS モードが有効になっている場合、ファイアウォールに1024ビットキーを使用して証明書を信頼させる方法はありません。
次の手順を使用して、SSL 復号化から Google および Yahoo サイトを除外することができます。
1. [オブジェクト] > [カスタムオブジェクト] ページで、次の url を含むカスタム url カテゴリを作成します。
* google.com
* yahoo.com
2. [ポリシー] > [復号化] ページで、新しい decyption ポリシーを作成します。
. 既存の復号化ポリシーと一致するように、変換元と変換先を設定します。
b します。手順1で作成したカスタムカテゴリに URL カテゴリを設定します。
c。[オプション] タブで、[復号化なし] を選択します。
%1d です。既存の暗号化解除ポリシーの上に "復号化しない" ポリシーを配置し、コミットします。