SSL 某些网站的解密失败 HTTPS 错误:ERR_SSL_PROTOCOL_ERROR:客户端hs_type 0
48260
Created On 01/21/20 11:15 AM - Last Modified 03/26/21 18:03 PM
Symptom
SSL 某些网站的解密失败 HTTPS :ERR_SSL_PROTOCOL_ERROR
Environment
客户端 PA --------->(解密)---------->互联网--HTTP网站
前瞻性代理配置 PA firewall
在故障排除所需的信息上:
- 客户端机器 pcap
- 涉及解密的所有四个阶段 firewall
- 流基本
- SSL 基本
- 代理基本
Cause
当客户端请求进行 ssl 重新谈判时,访问某些站点时,由于解密而失败。 这是从客户端触发的,可以在 客户端键交换中看到与类型 0 你好请求。
PA 不支持 SSL / TLS 重新谈判。
Resolution
解决方法:
为 HTTPS 因重新谈判而失败的站点创建解密例外 SSL 。
Additional Information
日志片段:
2019-12-13 04:14:37.418 -0800 debug: pan_ssl3_process_handshake_msg(pan_ssl3.c:1039): unexpected message client hs_type 0 <<< 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_handle_rt_hs(pan_ssl_proxy.c:242): pan_ssl3_process_handshake_msg() failed -1 2019-12-13 04:14:37.418 -0800 Error: pan_ssl_proxy_parse_data(pan_ssl_proxy.c:610): pan_ssl_parse_record() failed 192.168.54.10[57615]-->104.47.28.22[443] <<<<<<< 2019-12-13 04:14:37.418 -0800 pan_proxy_handle_error(pan_proxy.c:2118): handle error -1 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_check_block_error(pan_proxy.c:2102): In session(7846), encounters error_id(-1 PAN_SSL_ERROR_GENERAL), action: skip <<<<<<< 2019-12-13 04:14:37.418 -0800 debug: pan_proxy_ssl_proc_data(pan_proxy_ssl.c:1040): pan_ssl_proxy_parse_data() failed -1, not block 104.47.28.22[443]-->10.193.82.54[4708]
PCAP: ID 客户端你好请求中的会话-字段。