Accès à un site spécifique échoue avec des erreurs de déchiffrement "TLS Handshake Failure. Alerte fatale reçue HandshakeFailure du serveur »

• A Le site Web spécifique n’est pas accessible lorsque le trafic est sujet à SSL décryptage.
• Le même site est accessible s’il est contourné via SSL le décryptage.
• Il n'y a pas de message d'erreur spécifique au navigateur, sauf « Ce site n'est pas accessible »
• Les journaux de déchiffrement indiquent "TLS échec de la poignée de main. Échec de la négociation d’alerte fatale reçue du serveur ».

• Prisma Access avec SSL le déchiffrement activé.
• Strates NGFW en cours d’exécution ou supérieures avec SSL le décryptage activé.
• PAN-OS 10.0.

• Ce problème se produit lorsque le serveur ne prend pas en charge une suite de chiffrement spécifique ou un TLS paramètre envoyé dans le paquet Client Hello.
• Le contrôle de chiffrement de déchiffrement Palo Alto SSL est effectué via SSL le profil de déchiffrement de proxy direct. Le Client Hello envoyé par le navigateur est modifié et seuls les chiffrements activés dans le profil de déchiffrement sont envoyés au serveur.
• Dans quelques cas, certains serveurs peuvent ne prendre en charge que les anciens types de chiffrement et s’ils ne sont pas activés dans le profil de déchiffrement du proxy direct, le serveur rejettera le Client Hello, ce qui entraînera cette situation et générera le SSL journal « Alerte fatale reçue HandshakeFailure du serveur »

1. Identifiez la suite de chiffrement prise en charge par le serveur à partir d’une capture d’établissement de liaison fonctionnelle TLS . (Reportez-vous à la capture de paquets KB )
2. Activez ce paramètre de chiffrement dans le profil de déchiffrement du SSL proxy direct (: Objects > Decryption > Decryption Profile > (nom) > Decryption >SSH SSL Protocol SettingsGUI)
3. Vous pouvez également créer une règle de déchiffrement sans déchiffrement pour le spécifique URL afin de le contourner du déchiffrement si la société policy ne lui permet pas d’activer les anciens paramètres de SSL chiffrement.

Étapes pour isoler et identifier le problème :

• Effectuez les captures sur le Prisma Access ou Strata NGFW pour trouver les détails de l’échec de l’établissement de liaison. (Remarque:- Pour Prisma Access les captures ne peut être fait que par TAC)
• Les captures montrent TLS l’échec de la négociation du côté du serveur.

• Effectuez une capture de paquets sur l’ordinateur client en état de fonctionnement.
• Cela peut être fait en contournant le client du NGFWchemin /Prisma Access ou en contournant le URL décryptage de.
• Vérifiez la partie Server Hello du paquet et notez la suite de chiffrement sélectionnée par le serveur.
• Ces informations peuvent être utilisées pour vérifier si tous les paramètres de la suite de chiffrement acceptée par le serveur sont activés dans SSL le profil de déchiffrement du proxy direct et trouver le paramètre manquant.

• Maintenant, analysez à nouveau les captures précédentes pour voir le Client Hello. Vérifiez la liste des combinaisons de chiffrement qui n’incluent pas la suite de chiffrement acceptée par le serveur.

• Il est clairement visible que la suite de chiffrement prise en charge et acceptée par le serveur n’est pas envoyée dans le cadre du bonjour client, d’où l’échec de la poignée de main est attendu.
• Vérifiez le profil de déchiffrement du proxy direct associé à la règle de SSL déchiffrement pour voir que l’algorithme d’authentification SHA1 n’est pas coché.

GUI: Objets > Déchiffrement > Profil de déchiffrement > (nom) > Paramètres de déchiffrement >SSH SSL de protocole

• C’est la raison pour laquelle la suite de chiffrement TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA n’est pas envoyée pendant SSL le décryptage.
• L’activation de SHA1 dans ce profil de déchiffrement de proxy direct résoudra le problème ici.
• Les mêmes étapes peuvent être appliquées pour identifier tout autre paramètre non activé dans le profil de déchiffrement du proxy direct et provoquant un problème avec la poignée de SSL TLS main.
• Reportez-vous au profil de déchiffrement du proxy de transfert pour obtenir des informations sur le SSL SSL profil de déchiffrement du proxy de transfert

Reportez-vous à un article similaire : Comment identifier la cause première des SSL échecs de déchiffrement