"a.b.google.com" stimmt nicht mit "*.google.com" überein, das unter SSL Entschlüsselungsausschluss angegeben ist
8175
Created On 11/21/19 02:48 AM - Last Modified 06/01/23 07:07 AM
Symptom
Der Datenverkehr für a.b.google.com wird auch dann entschlüsselt, wenn *.google.com unter Entschlüsselungsausschluss unter SSL Device -> Certificate Management (Zertifikatsverwaltung) angegeben ist
Environment
Palo Alto Networks firewall , die mit einem SSL Entschlüsselungsausschluss unter Device -> Certificate Management konfiguriert sind
Cause
Derzeit SSL unterstützt der Entschlüsselungsausschluss nur "^" (Caret). Asterisk wird intern an Caret übertragen.
Sternchen verhalten sich genauso wie Carets (^) für URL Kategorieausnahmen – jedes Sternchen steuert eine variable Subdomain (Label) im Hostnamen.
Resolution
Wenn Sie z. B. Platzhalter verwenden möchten, um "video-stats.video.google.com" von der Entschlüsselung auszuschließen, aber nicht, um "video.google.com" von der Entschlüsselung auszuschließen, schließen Sie *.*.google.com aus.
Hier sind weitere Beispiele, die Ihnen zeigen, wie Sie Sternchen verwenden.
- mail.*.com stimmt mit mail.company.com überein, aber nicht mit mail.company.sso.com.
- *.company.com stimmt mit tools.company.com überein, aber nicht mit eng.tools.company.com.
- *.*.company.com stimmt mit eng.tools.company.com überein, aber nicht mit eng.company.com.
- *.*.*.company.com stimmt mit corp.exec.mail.company.com überein, aber nicht mit corp.mail.company.com.
- mail.google.* stimmt mit mail.google.com überein, aber nicht mit mail.google.uk.com.
- mail.google.*.* stimmt mit mail.google.co.uk überein, aber nicht mit mail.google.com.
Additional Information
Um die Details zu bestätigen, lesen Sie bitte das Administratorhandbuch.
PAN-OS Administratorhandbuch Version 8.1 Administratorhandbuch Version 9.0
PAN-OS