GlobalCounters: ssl_extended_master_secret et proxy_decrypt_error_overall
15156
Created On 01/21/20 08:13 AM - Last Modified 03/26/21 18:03 PM
Symptom
- Affichage des erreurs du navigateur du site Web :
Ce site ne peut pas fournir une connexion sécurisée. ERR_SSL_version_ou_cipher_incompatibilité
- GlobalCounters et comment les prendre - Global Counters
proxy_decrypt_error_overall
Nombre global d’erreurs de décryptage (sans compter la validation cert et la param non-étayée)
ssl_extended_master_secret
Nombre de session ssl créées à l’aide d’une extension master étendue
- Pack Flow Debugs et comment les prendre - Flow Basic
jeter id chiffre inconnu
parse client bonjour erreur 0 pas exclu
Environment
- Pare-feu Palo Alto Networks configurés avec décryptage.
Cause
- EC Diffie-Hellman Server Named Curve: x25519 (0x001d) n’est pas pris en charge OS sur 8.1.x
Resolution
Sur le serveur s’il vous plaît désactiver que la courbe elliptique 22519.
Additional Information
Courbe elliptique soutenue dans Pan OS 8.1.x
SSL / TLS Décryptage — NIST- Courbes elliptiques approuvées
P-192 (secp192r1)
P-224 (secp224r1)
P-256 (secp256r1)
P-384 (secp38 4r1)
P-521 (secp521r1)
https://docs.paloaltonetworks.com/compatibility-matrix/supported-cipher-suites/cipher-suites-supported-in- pan-os -8-1/cipher-suites-supported-in- pan-os -8-1-decryption.html#id181GE0UF0HR