SSL Se produce un error en el descifrado para ciertos HTTPS sitios con error: ERR_SSL_PROTOCOL_ERROR ;client hs_type 0
48258
Created On 01/21/20 11:15 AM - Last Modified 03/26/21 18:03 PM
Symptom
SSL Se produce un error en el descifrado para ciertos HTTPS sitios con error: ERR_SSL_PROTOCOL_ERROR
Environment
Cliente---------> ( PA descifrado ) ----------> sitios de Internet --HTTPs
Forward-Proxy configurados en la PA firewall
información necesaria para solucionar problemas:
- Pcap de la máquina del cliente
- Las cuatro etapas en el involucrado con el firewall descifrado
- Flujo Básico
- SSL Básico
- Proxy Basic
Cause
El acceso a ciertos sitios falla con el descifrado cuando las solicitudes del cliente para la renegociación ssl mientras que el apretón de manos existente está en marcha. Esto se desencadena desde el lado del cliente y se puede ver en el intercambio de claves de cliente con el tipo 0 solicitud de saludo.
PA no apoya SSL / TLS Renegociación.
Resolution
Solución alternativa:
Crear excepción de descifrado para los HTTPS sitios que fallan debido a SSL la renegociación.
Additional Information
Fragmentos de registro:
2019-12-13 04:14:37.418 -0800 debug: pan_ssl3_process_handshake_msg(pan_ssl3.c:1039): unexpected message client hs_type 0 <<< 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:242): pan_ssl3_process_handshake_msg() failed -1 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_parse_data(pan_ssl_proxy.c:610): pan_ssl_parse_record() failed 192.168.54.10[57615]-->104.47.28.22[443] <<<<<<< 2019-12-13 04:14:37.418 -0800 pan_proxy_handle_error(pan_proxy.c:2118): handle error -1 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_check_block_error(pan_proxy.c:2102): In session(7846), encounters error_id(-1 PAN_SSL_ERROR_GENERAL), action: skip <<<<<<< 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_proc_data(pan_proxy_ssl.c:1040): pan_ssl_proxy_parse_data() failed -1, not block 104.47.28.22[443]-->10.193.82.54[4708]
PCAP: Campo session- ID en Client Hello Request.