« a.b.google.com » ne correspond pas à « *.google.com » spécifié dans SSL Exclusion de déchiffrement

8195

Created On 11/21/19 02:48 AM - Last Modified 06/01/23 07:07 AM

Symptom

Le trafic pour a.b.google.com est déchiffré même lorsque *.google.com est spécifié dans SSL Exclusion de déchiffrement sous Gestion des certificats > périphérique

Environment

Palo Alto Networks firewall configuré avec une SSL exclusion de déchiffrement sous Gestion des certificats > périphérique

Cause

Actuellement, SSL l’exclusion de déchiffrement ne prend en charge que « ^ » (caret). L’astérisque est transféré en interne à caret.
Les astérisques se comportent de la même manière que les carets (^) se comportent pour URL les exceptions de catégorie : chaque astérisque contrôle un sous-domaine variable (étiquette) dans le nom d’hôte.

Resolution

Par exemple, pour utiliser des caractères génériques pour exclure « video-stats.video.google.com » du déchiffrement mais pas pour exclure « video.google.com » du déchiffrement, excluez *.*.google.com.
Voici un autre exemple qui vous montre comment utiliser l’astérisque;

mail.*.com correspond à mail.company.com mais ne correspond pas à mail.company.sso.com.
*.company.com correspond à tools.company.com mais ne correspond pas à eng.tools.company.com.
*.*.company.com correspond eng.tools.company.com mais ne correspond pas à eng.company.com.
*.*.*.company.com correspond à corp.exec.mail.company.com, mais ne correspond pas à corp.mail.company.com.
mail.google.* correspond à mail.google.com, mais pas à mail.google.uk.com.
mail.google.*.* correspond à mail.google.co.uk, mais ne correspond pas à mail.google.com.

Additional Information