全球计数器:ssl_extended_master_secret和proxy_decrypt_error_overall
15180
Created On 01/21/20 08:13 AM - Last Modified 03/26/21 18:03 PM
Symptom
- 网站浏览器错误显示:
此站点无法提供安全连接。 错误_SSL_版本_或_密码_不匹配
- 全球计数器以及如何采取它们 - 全球计数器
proxy_decrypt_error_overall
解密错误总数(不包括证书验证和不支持参数)
ssl_extended_master_secret
使用扩展主扩展创建的 ssl 会话数
- 包流调试和如何采取它们 - 流基本
丢弃未知密码 ID
解析客户端 hello 错误 0 未排除
Environment
- 帕洛阿尔托网络防火墙配置有解密功能。
Cause
- EC 差异-赫尔曼服务器命名曲线:x25519(0x001d)不支持 OS 8.1.x
Resolution
在服务器上,请仅禁用椭圆曲线 22519。
Additional Information
支持泛 OS 8.1.x/
SSL TLS 解密的椭 NIST- 圆曲线(
P-192 秒192r1)(
P-224 秒224r1)(
P-256 秒256r1)(
P-384 秒p384r) 1)
P-521 (secp521r1)
https://docs.paloaltonetworks.com/compatibility-matrix/supported-cipher-suites/cipher-suites-supported-in- pan-os -8-1/密码套房支持 pan-os -8-1解密.html#id181GE0UF0HR