Fehlermeldung: Zertifikat DST Root CA X3 abgelaufen - blockiert SSL Entschlüsselung
5276
Created On 09/30/21 04:56 AM - Last Modified 05/17/23 03:26 AM
Symptom
SSL Entschlüsselung schlägt aufgrund von "abgelaufenen Zertifikaten" fehl
Environment
- PAN-OS.
- SSL Entschlüsselung.
- SSL Proxy weiterleiten.
Cause
Das Zertifikatzertifikat DST Root CA X3 ist abgelaufen und das SSL Entschlüsselungsprofil blockiert möglicherweise Sitzungen mit abgelaufenen Zertifikaten.
Resolution
Der Server muss eine neue Zertifikatskette ohne das abgelaufene Zertifikat senden.
In der Zwischenzeit sollte das Entschlüsselungsprofil gelockert firewallwerden, indem Sie die Option "Sitzungen mit abgelaufenen Zertifikaten blockieren" unter GUI: Objekte > Entschlüsselung > Entschlüsselungsprofil > <verwendetes Profil> (für 90 Tage) deaktivieren.
Additional Information
Let's Encrypt Ankündigung
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
PAN-OS Administratorhandbuch
Erstellen eines Entschlüsselungsprofils Kundenempfehlung
Entschlüsselungsfehler, die durch den abgelaufenen externen AddTrust-Stamm verursacht wurden CA