SSL Décryptage échoue pour certains HTTPS sites avec erreur: ERR_SSL_PROTOCOL_ERROR ;client hs_type 0
48234
Created On 01/21/20 11:15 AM - Last Modified 03/26/21 18:03 PM
Symptom
SSL Le décryptage échoue pour certains HTTPS sites avec erreur : ERR_SSL_PROTOCOL_ERROR
Environment
Client---------> ( PA décryptage ) ----------> Internet --HTTPs sites
Forward-Proxy configurés sur les PA firewall
informations nécessaires pour le dépannage:
- Pcap de machine de client
- Les quatre étapes sur les firewall impliqués dans le décryptage
- Flow De base
- SSL Base
- Proxy De base
Cause
L’accès à certains sites échoue avec le décryptage lorsque les demandes des clients pour la renégociation ssl tandis que la poignée de main existante est en cours. Ceci est déclenché du côté client et peut être vu sur l’échange de clé client avec le type 0 Bonjour Demande.
PA ne soutient pas SSL / TLS Renégociation.
Resolution
Solution de contournement:
Créer l’exception de décryptage pour HTTPS les sites qui échouent en raison de SSL la renégociation.
Additional Information
Extraits de journaux :
2019-12-13 04:14:37.418 -0800 debug: pan_ssl3_process_handshake_msg(pan_ssl3.c:1039): unexpected message client hs_type 0 <<< 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:242): pan_ssl3_process_handshake_msg() failed -1 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_parse_data(pan_ssl_proxy.c:610): pan_ssl_parse_record() failed 192.168.54.10[57615]-->104.47.28.22[443] <<<<<<< 2019-12-13 04:14:37.418 -0800 pan_proxy_handle_error(pan_proxy.c:2118): handle error -1 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_check_block_error(pan_proxy.c:2102): In session(7846), encounters error_id(-1 PAN_SSL_ERROR_GENERAL), action: skip <<<<<<< 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_proc_data(pan_proxy_ssl.c:1040): pan_ssl_proxy_parse_data() failed -1, not block 104.47.28.22[443]-->10.193.82.54[4708]
PCAP: Champ de ID session dans Client Hello Request.