グローバルカウンター:ssl_extended_master_secretとproxy_decrypt_error_overall
15152
Created On 01/21/20 08:13 AM - Last Modified 03/26/21 18:03 PM
Symptom
- Web サイトのブラウザ エラーが表示されます。
このサイトは、セキュリティで保護された接続を提供できません。 エラー_SSL_バージョン_または_暗号_不一致
- グローバルカウンタとその取り方 - グローバルカウンタ
proxy_decrypt_error_overall
全体の復号化エラーの数 (証明書の検証とサポートなしのパラメータを含まない)
ssl_extended_master_secret
拡張マスター拡張を使用して作成された SSL セッションの数
- パックフローデバッグとその取り方 - フロー基本
不明な暗号 ID を破棄する
解析クライアント hello エラー 0 除外されません
Environment
- 解読が構成されたパロアルトネットワークファイアウォール。
Cause
- EC Diffie-Hellman サーバーの名前付きカーブ: x25519 (0x001d) は OS 8.1.x ではサポートされていません。
Resolution
サーバー上では楕円曲線22519のみを無効にしてください。
Additional Information
Pan OS 8.1.x/復号化でサポートされる楕円曲線
SSL TLS - NIST- 承認された楕円曲線
P-192
P-224 (secp192r1)(secp224r1)(secp256r1)(secp384r1)(secp521r1)
P-256
P-384
P-521 (secp521r1)
https://docs.paloaltonetworks.com/compatibility-matrix/supported-cipher-suites/cipher-suites-supported-in- pan-os -8-1/暗号スイート- pan-os -8-1-decrypti.html on#id10HRHR10