El acceso a un sitio específico falla con errores de descifrado "TLS Handshake Failure. Se recibió una alerta fatal HandshakeFailure del servidor"

• A Un sitio web específico no es accesible cuando el tráfico está sujeto a SSL descifrado.
• El mismo sitio es accesible si se omite a través del SSL descifrado.
• No hay ningún mensaje de error específico del navegador, excepto "No se puede acceder a este sitio"
• Los registros de descifrado muestran "TLS error de protocolo de enlace. Se ha recibido un error de protocolo de enlace de alerta grave del servidor".

• Prisma Access con SSL el descifrado habilitado.
• Estratos NGFW ejecutándose o superiores con SSL el descifrado habilitado.
• PAN-OS 10.0.

• Este problema ocurre cuando el servidor no admite un conjunto de cifrado específico o un TLS parámetro enviado en el paquete Client Hello.
• El control de cifrado de descifrado de Palo Alto SSL se realiza a través del SSL perfil de descifrado de proxy hacia adelante. El Client Hello enviado por el navegador se modifica y solo los cifrados habilitados en el perfil de descifrado se envían al servidor.
• En algunos casos, algunos servidores pueden admitir solo tipos de cifrado más antiguos y, si no están habilitados en el perfil de descifrado del proxy de reenvío, el servidor rechazará el Hola del cliente, lo que provocará esta situación y generará el registro "Alerta grave recibida HandshakeFailure delSSL servidor"

1. Identifique el conjunto de cifrado admitido por el servidor a partir de una captura de protocolo de enlace que funcione TLS . (Consulte Captura de paquetes KB )
2. Habilite ese parámetro de cifrado en el perfil de descifrado de proxy de reenvío (: Perfiles > descifrado > > (GUInombre) > Configuración de protocolo >SSH SSL deSSL descifrado)
3. Alternativamente, cree una regla de no descifrado para el específico URL para omitirlo del descifrado si la compañía policy no le permite habilitar parámetros de SSL cifrado más antiguos.

Pasos para aislar e identificar el problema:

• Realice las capturas en el Prisma Access o Strata NGFW para encontrar los detalles del error del protocolo de enlace. (Nota:- Para Prisma Access las capturas sólo se puede hacer por TAC)
• Las capturas muestran TLS el error del protocolo de enlace desde el lado del servidor.

• Realice una captura de paquetes en el equipo cliente en condiciones de trabajo.
• Esto se puede hacer omitiendo el cliente de la NGFWruta /Prisma Access o omitiendo el URL descifrado from.
• Compruebe la parte Server Hello del paquete y anote el conjunto de cifrado seleccionado por el servidor.
• Esta información se puede utilizar para comprobar si todos los parámetros del conjunto de cifrado aceptado por el servidor están habilitados en SSL el perfil de descifrado de proxy de reenvío y encontrar el parámetro que falta.

• Ahora, analiza las capturas anteriores de nuevo para ver el Client Hello. Compruebe la lista de trajes de cifrado que no incluye el conjunto de cifrado aceptado por el servidor.

• Es claramente visible que el conjunto de cifrado soportado y aceptado por el servidor no se envía como parte del saludo del cliente, por lo tanto, se espera el error del protocolo de enlace.
• Compruebe el perfil de descifrado de proxy de reenvío asociado con la regla de descifrado para ver que el SSL algoritmo de autenticación SHA1 no está marcado.

GUI: Perfiles de descifrado > > descifrado > (nombre) > descifrado >SSH SSL configuración del protocolo

• Esta es la razón, el conjunto de cifrado TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA no se envía durante SSL el descifrado.
• Habilitar SHA1 en este perfil de descifrado de proxy de reenvío solucionará el problema aquí.
• Se pueden aplicar los mismos pasos para identificar cualquier otro parámetro no habilitado en el perfil de descifrado del proxy de reenvío y que cause un problema con el protocolo de SSL TLS enlace.
• Consulte Perfil de descifrado de proxy de reenvío para obtener información SSL sobre el perfil de SSL descifrado de proxy de reenvío

Consulte un artículo similar: Cómo identificar la causa raíz de los errores de SSL descifrado