SSL HTTPSエラーのある特定のサイトで復号化が失敗する: ERR_SSL_PROTOCOL_ERROR;クライアント hs_type 0
48240
Created On 01/21/20 11:15 AM - Last Modified 03/26/21 18:03 PM
Symptom
SSL HTTPS特定のサイトでエラーが発生すると、復号化が失敗します: ERR_SSL_PROTOCOL_ERROR
Environment
クライアント---------> PA ( 復号化 ) ---------->インターネット --HTTPs サイト
転送プロキシは PA firewall
、トラブルシューティングに必要な情報で構成されています。
- クライアント マシンの pcap
- 復号化に関わる4つのステージすべて firewall
- フローベーシック
- SSL 基本的です
- プロキシの基本
Cause
既存のハンドシェイクが実行中の間にクライアントが ssl 再ネゴシエーションを要求すると、特定のサイトへのアクセスが復号で失敗します。 これはクライアント側からトリガーされ、タイプ 0 の Hello 要求を使用してクライアント キー交換で確認できます。
PA はサポートされていない SSL / TLS 再ネゴシエーションです。
Resolution
回避策:
HTTPS再ネゴシエーションが原因で失敗したサイトの復号化例外を作成 SSL します。
Additional Information
ログ スニペット:
2019-12-13 04:14:37.418 -0800 debug: pan_ssl3_process_handshake_msg(pan_ssl3.c:1039): unexpected message client hs_type 0 <<< 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:242): pan_ssl3_process_handshake_msg() failed -1 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_parse_data(pan_ssl_proxy.c:610): pan_ssl_parse_record() failed 192.168.54.10[57615]-->104.47.28.22[443] <<<<<<< 2019-12-13 04:14:37.418 -0800 pan_proxy_handle_error(pan_proxy.c:2118): handle error -1 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_check_block_error(pan_proxy.c:2102): In session(7846), encounters error_id(-1 PAN_SSL_ERROR_GENERAL), action: skip <<<<<<< 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_proc_data(pan_proxy_ssl.c:1040): pan_ssl_proxy_parse_data() failed -1, not block 104.47.28.22[443]-->10.193.82.54[4708]
PCAPID: クライアントの Hello 要求のセッション- フィールド。