谷歌和雅虎域不受信任, SSL 解密和 FIPS 模式启用

谷歌和雅虎域不受信任, SSL 解密和 FIPS 模式启用

16287
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 07:29 AM


Resolution


症状

 

当浏览到启用 SSL 解密和 FIPS 模式的 Google 或雅虎站点时, 防火墙会向客户端显示转发不信任证书。

 

谷歌错误. PNG

 

说明

 

Google 和雅虎都在其证书链中提供1024位密钥的根证书。自2010年以来, 具有1024位密钥的证书不符合 fips 标准, 因此, FIPS 模式下的防火墙将不信任证书。

 

谷歌的证书链

 

$ openssl s_client 连接 google.com:443
连接 (00000003)
depth=2 C = US, O = GeoTrust 公司, CN = GeoTrust 全局 CA
验证 error:num=20:unable 以获得本地颁发者证书
验证 return:0
---
证书链
0 s:/C = 我们/ST = 加利福尼亚或 L = 山看法/o = 谷歌公司/cn = *. google com
i:/C = 我们/O = google 公司/cn = 谷歌互联网权威 G2
1 s:/c = 我们/O = 谷歌公司/CN = 谷歌互联网管理局 G2
i:/c = 我们/O = GeoTrust 公司/cn = GeoTrust 全球 CA
2 s:/C = US/O =GeoTrust 公司/CN = GeoTrust 全球 CA
i:/C = 我们/O = Equifax/OU = Equifax 安全证书颁发机构

 

Equifax 安全证书颁发机构

 

$ openssl x509 Equifax_Secure_Certificate_Authority. pem-文本-noout
证书:
数据:
版本: 3 (0x2)
序列号: 903804111 (0x35def4cf)
签名算法: sha1WithRSAEncryption
发行者: C = 我们, O = Equifax, OU =Equifax 安全证书颁发机构
有效期
: 8月22日 16:41: 51 1998 GMT
不之后: 8月22日 16:41:51 2018 GMT
主题: C = 美国, O = Equifax, OU = Equifax 安全证书颁发机构
主题公钥信息:
公钥算法: rsaEncryption
公钥: (1024 位)

 

雅虎证书链

 

$ openssl s_client 连接 yahoo.com:443
连接 (00000003)
depth=2 C = US, O = "verisign, 公司", ou = VeriSign 信任网络, ou = "(C) 2006 verisign, 公司-仅授权使用", CN = VeriSign 类3公共主要证书颁发机构-G5
验证 error:num=20:unable 以获取本地颁发者证书
验证 return:0
---
证书链
0 s:/c = US/ST = 加利福尼亚州/升 = 公司/地区 = 雅虎/OU = 信息技术/CN =www.yahoo.com
i:/C = 我们/O = 赛门铁克公司/OU = 赛门铁克信任网络/CN = 赛门铁克类3安全服务器 CA-G4
1 秒:/c = 我们/O = 赛门铁克公司/OU = 赛门铁克信任网络/CN = 赛门铁克类3安全服务器 CA G4
i:/c = 我们/o = verisign, 公司/ou = verisign 信任网络/ou = (C)2006 verisign 公司-仅供授权使用/CN = VeriSign 类3公共主要证书颁发机构-G5
2 s:/c = 我们/O = verisign, 公司/ou = verisign 信任网络/ou = (C) 2006 verisign 公司-仅供授权使用/CN = verisign 类3公共小学认证机构-G5
:/C = 我们/O = VeriSign, 公司/OU = 类3公共主要证书颁发机构

 

3类公共主要证书颁发机构

 

$ openssl x509-3 级-公共-初级-认证-权威. pem-文本-noout

证书:
数据:
版本: 1 (0x0)
序列号:
3 C: 91:31: cb: 1 f: f6: d0:1b: 0 e: 9 a: b8: d0:44: bf:12: 是
签名算法: sha1WithRSAEncryption
发行者: C = 美国, O = VeriSign, 公司, OU = 类3公共主要认证授权
有效期
: 1月29日 00:00: 00 1996 GMT
不之后: 8月2日 23:59:59 2028 GMT
主题: C = 美国, O = VeriSign, 公司, OU = 类3公共主要证书颁发机构
主体公钥信息:
公钥算法: rsaEncryption
公钥: (1024 位)

 

解决方法

 

在启用 FIPS 模式时, 无法强制防火墙信任具有1024位密钥的证书。

 

您可以使用以下步骤免除 Google 和雅虎站点的 SSL 解密:

 

1. 在对象 >> 自定义对象页上创建自定义 URL 类别, 其中包含以下 url:

 

*. google.com

*. yahoo.com

 

 

googleandyahoo。Png

 

2. 在策略 > 解密页上创建新的 decyption 策略。

 

一个。设置源和目标以匹配现有的解密策略。

b。将 URL 类别设置为在步骤1中创建的自定义类别。

(c)。在 "选项" 选项卡中, 选择 "不解密"。

d。将 "无解密" 策略置于现有解密策略之上并提交。

 

解密. PNG
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfvCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language