SSL Die Entschlüsselung schlägt für bestimmte HTTPS Sites mit Fehler fehl: ERR_SSL_PROTOCOL_ERROR ;client hs_type 0
48248
Created On 01/21/20 11:15 AM - Last Modified 03/26/21 18:03 PM
Symptom
SSL Entschlüsselung schlägt für bestimmte HTTPS Websites mit Fehler fehl: ERR_SSL_PROTOCOL_ERROR
Environment
Client---------> PA ( Entschlüsselung ) ----------> Internet --HTTPs-Sites
Forward-Proxy konfiguriert auf den Informationen für die PA firewall
Fehlerbehebung erforderlich:
- Client-Maschine pcap
- Alle vier Stufen auf der firewall mit der Entschlüsselung beteiligt
- Flow Basic
- SSL Basic
- Proxy Basic
Cause
Der Zugriff auf bestimmte Websites schlägt mit der Entschlüsselung fehl, wenn Client eine ssl-Neuverhandlung anfordert, während der vorhandene Handshake im Gange ist. Dies wird von der Clientseite ausgelöst und kann auf dem Clientschlüsselaustausch mit dem Typ 0 Hello Requestangezeigt werden.
PA unterstützt SSL / TLS Neuverhandlung nicht.
Resolution
Problemumgehung:
Erstellen Sie die Entschlüsselungsausnahme für die HTTPS Websites, die aufgrund von SSL Neuaushandlung fehlschlagen.
Additional Information
Protokollausschnitte:
2019-12-13 04:14:37.418 -0800 debug: pan_ssl3_process_handshake_msg(pan_ssl3.c:1039): unexpected message client hs_type 0 <<< 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:242): pan_ssl3_process_handshake_msg() failed -1 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_parse_data(pan_ssl_proxy.c:610): pan_ssl_parse_record() failed 192.168.54.10[57615]-->104.47.28.22[443] <<<<<<< 2019-12-13 04:14:37.418 -0800 pan_proxy_handle_error(pan_proxy.c:2118): handle error -1 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_check_block_error(pan_proxy.c:2102): In session(7846), encounters error_id(-1 PAN_SSL_ERROR_GENERAL), action: skip <<<<<<< 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_proc_data(pan_proxy_ssl.c:1040): pan_ssl_proxy_parse_data() failed -1, not block 104.47.28.22[443]-->10.193.82.54[4708]
PCAP: ID Sitzungsfeld in Client Hello Request.