L’application AnyDesk est déchiffrée et rejetée par intermittence, bien qu’elle figure dans la liste d’exclusion du déchiffrement SSL
13531
Created On 03/15/22 07:56 AM - Last Modified 02/02/24 06:08 AM
Symptom
- « *.net.anydesktop.com » est ajouté à la liste d'URL personnalisée et la stratégie de déchiffrement est configurée avec l'action « No Decrypt » pour « *.net.anydesktop.com ».
- Le certificat de l’autorité de certification a été importé et marqué comme autorité de certification racine de confiance sur le pare-feu, bien que cette configuration soit correcte, les paquets sont considérés comme déchiffrés.
- L’erreur « Reçu une alerte fatale UnknownCA du client » peut être observée dans le journal de déchiffrement.
- Il n’y a pas de SNI dans le journal de déchiffrement, ce qui signifie que le Client Hello envoyé par le client n’avait pas de SNI.
Environment
- Pare-feu De Palo Alto
- PAN-OS pris en charge
- Décryptage SSL
Cause
- Le pare-feu reçoit le bonjour du client sans indication de nom de serveur (SNI).
- Lorsque cela se produit, le pare-feu utilise l’adresse IP de destination pour résoudre la catégorie d’URL.
- Étant donné que l’adresse IP ne figure pas dans la liste d’exclusion, le pare-feu commence à déchiffrer la session.
- Pendant ce temps, l’adresse IP est résolue et le pare-feu détermine que l’URL est exclue du déchiffrement.
- Il ignorera le déchiffrement à partir de la deuxième fois car l’adresse IP existera dans la liste d’exclusion.
Resolution
Utilisez l’une des méthodes suivantes.
- Modifiez le comportement côté client pour ajouter l’indication de nom de serveur (SNI).
- Vérifiez auprès du fournisseur AnyDesk et obtenez tous les noms de domaine complets pour former une politique de non-déchiffrement avec le nom de domaine complet et non l’URL.