Décryptage SSL pour certains sites montre que pas de confiance
Décryptage SSL pour certains sites montre que pas de confiance
42054
Created On 09/25/18 20:40 PM - Last Modified 06/09/23 03:03 AM
Resolution
Symptôme
Un pare-feu de Palo Alto Networks dispose d'une liste d'autorités de certification racine de confiance (cas), que le pare-feu utilise pour vérifier la validité d'un site SSL lors du décryptage. Lorsque les autorités de certification changent leur certificat racine ou commencent à signer des certificats de serveur à l'Aide d'un nouveau certificat racine, la liste doit être mise à jour.
Pour résoudre ce problème
Installez manuellement une nouvelle autorité de certification racine, y compris l'AUTORITÉ de certification racine plus récente de GoDaddy et d'autres certificats d'AUTORITÉ de certification:
Pour GoDaddy, copiez l'Autorité de certification de la racine GoDaddy suivante (y compris les lignes Begin et end) dans un éditeur de texte ordinaire tel que le bloc-notes, (ne pas utiliser WordPad, Word, ou similaires éditeurs de texte enrichi). -----Begin Certificate----- MIIDxTCCAq2gAwIBAgIBADANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoT EUdvRGFkZHkuY29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRp ZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTA5MDkwMTAwMDAwMFoXDTM3MTIzMTIz NTk1OVowgYMxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQH EwpTY290dHNkYWxlMRowGAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjExMC8GA1UE AxMoR28gRGFkZHkgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkgLSBHMjCCASIw DQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAL9xYgjx + lk09xvJGKP3gElY6SKD E6bFIEMBO4Tx5oVJnyfq9oQbTqC023CYxzIBsQU + B07u9PpPL1kwIuerGVZr4oAH /PMWdYA5UXvl + TW2dE6pjYIT5LY/qQOD + QK + IhVqf94Lw7YZFAXK6sOoBJQ7Rnwy DfMAZiLIjWltNowRGLfTshxgtDj6AozO091GB94KPutdfMh8 + 7ArU6SSYmlRJQVh GkSBjCypQ5Yj36w6gZoOKcUcqeldHraenjAKOc7xiID7S13MMuyFYkMlNAJWJwGR tDtwKj9useiciAF9n9T521NtYJ2/LOdYq7hfRvzOxBsDPAnrSTFcaUaz4EcCAwEA AaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYwHQYDVR0OBBYE FDqahQcQZyi27/ a9BUFuIMGU2g/eMA0GCSqGSIb3DQEBCwUAA4IBAQCZ21151fmX WWcDYfF + OwYxdS2hII5PZYe096acvNjpL9DbWu7PdIxztDhC2gV7 + AJ1uP2lsdeu 9TfeE8tTEH6KRtGX + RcuKxGrkLAngPnon1rpN5 + r5N9ss4UXnT3ZJE95kTXWXwTr gIOrmgIttRD02JDHBHNA7XIloKmf7J6raBKZV8aPEjoJpL1E/QYVN8Gb5DKj7Tjo 2GTzLH4U/ALqn83/B2gX2yKQOC16jdFU8WnjXzPKej17CuPKf1855eJ1usV2GDPO LPAvTK33sefOT6jEm0pUBsV/FdUID + IC/n4XuKxe9tQWskMJDE32p2u0mYRlynqI 4uJEvlz36hz1 - ----CERTIFICAT de fin -----
Enregistrez le fichier avec une extension. txt,. cer ou. CRT.
Accédez à Device > certificats et cliquez sur Importer:
Sélectionnez le fichier enregistré à l'Étape 2 et cliquez sur OK.
Cliquez sur le nom du nouveau certificat, sélectionnez autorité de certification racine approuvée, puis cliquez sur OK.
Validez les modifications.
Note: actuellement, il n'y a pas de résolution au niveau du code à ce problème. Palo Alto Networks évalue le meilleur plan d'action pour la mise à jour de la liste des autorités de certification racine de confiance.