Cómo identificar la causa raíz SSL de los problemas de error de descifrado
154547
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- Cómo identificar errores de descifrado debido a un conjunto de cifrado no compatible.
- Consulte la siguiente matriz de compatibilidad para confirmar las suites de cifrado compatibles actualmente
:
Environment
- PAN-OS
- SSL Descifrado
Cause
En este ejemplo, se produce un error en el SSL descifrado de proxy porque el servidor solo admite Diffie-Hellman ( DH ) y Elliptec Curve Ephemeral Diffie-Hellman ( ECDHE ).
Siga estos pasos para confirmar el problema:
- Ejecute una captura de paquetes desde el dispositivo Palo Alto Networks (consulte Cómo ejecutar una captura de paquetes). Examine los paquetes de cliente Hello enviados por el cliente y los paquetes de respuesta enviados por el servidor. Busque el "fallo del apretón de mano", que se muestra a continuación.
- Ver las suites de cifrado admitidas por el cliente o palo alto dispositivo de redes en el cliente Hola paquetes.
- Con la SSL herramienta de escaneo https://www.ssllabs.com/ssltest/index.html, averigüe qué conjuntos de cifrado son compatibles con el servidor. Vea este ejemplo:
La salida anterior confirma que el problema se debe a las suites de cifrado no compatibles.