Comment identifier la cause profonde des problèmes SSL de défaillance du décryptage
154529
Created On 09/26/18 13:47 PM - Last Modified 12/02/22 19:12 PM
Symptom
- Comment identifier les défaillances de décryptage dues à une suite de chiffrement non pris en charge.
- Consultez la matrice de compatibilité suivante pour confirmer les suites Cipher actuellement prises en charge
:
Environment
- PAN-OS
- SSL Décryptage
Cause
Dans cet exemple, le SSL décryptage proxy échoue parce que le serveur ne prend en charge que Diffie-Hellman ( DH ) et Elliptec Curve Éphémère Diffie-Hellman ( ECDHE ).
Suivez ces étapes pour confirmer le problème :
- Exécutez une capture de paquets à partir de l’appareil Palo Alto Networks (voir Comment exécuter une capture de paquets). Examinez les paquets Hello client envoyés par le client et les paquets de réponse envoyés par le serveur. Recherchez "échec de la poignée de main", qui est montré ci-dessous.
- Afficher les suites de chiffrement prises en charge par le client ou le périphérique Palo Alto Networks dans les paquets Hello client.
- À SSL l’aide de l https://www.ssllabs.com/ssltest/index.html denumérisation, découvrez quelles suites de chiffrement sont prises en charge par le serveur. Voir cet exemple:
La sortie ci-dessus confirme que le problème est dû à des suites de chiffrement non supportées.