特定のサイトへのアクセスが復号化エラーで失敗する」TLSハンドシェイクの失敗。 致命的なアラート HandshakeFailure をサーバーから受信しました」

• A トラフィックが影響を受けると、特定の Web サイトにアクセスできなくなります。SSL復号化。
• 経由でバイパスすると、同じサイトにアクセスできます。SSL復号化。
• 「このサイトにアクセスできません」以外の特定のブラウザ エラー メッセージはありません。
• 復号化ログには「TLSハンドシェイクの失敗。 サーバーから致命的なアラート ハンドシェイクの失敗を受信しました。」

• Prisma Access とSSL復号化が有効になりました。
• 地層NGFW実行中以上SSL復号化が有効になりました。
• PAN-OS 10.0。

• この問題は、サーバーが特定の暗号スイートまたは暗号化方式をサポートしていない場合に発生します。TLS Client Hello パケットで送信されるパラメータ。
• パロアルトSSL復号化暗号制御は次のように行われます。SSLフォワードプロキシ復号化プロファイル。 ブラウザーによって送信された Client Hello は変更され、復号化プロファイルで有効になっている暗号のみがサーバーに送信されます。
• まれに、一部のサーバーは古い暗号タイプのみをサポートしており、それらが有効になっていない場合、SSLフォワード プロキシ復号化プロファイルを使用すると、サーバーは Client Hello を拒否し、この状況が発生し、ログが生成されます。サーバーから致命的なアラート HandshakeFailure を受信しました」

1. サーバーがサポートする暗号スイートを動作中の暗号スイートから特定します。TLS握手キャプチャー。 （参照パケットキャプチャKB)
2. その暗号パラメータを有効にします。SSLフォワードプロキシ復号化プロファイル(GUI :オブジェクト > 復号化 > 復号化プロファイル > (名前) >SSH復号化 >SSLプロトコル設定)
3. あるいは、特定の暗号化なしルールを作成します。URLそれをバイパスするSSL会社の場合は復号化policy古い暗号パラメータを有効にすることはできません。

問題を切り分けて特定する手順は次のとおりです。

• でキャプチャを実行します。Prisma AccessまたはストラタNGFWハンドシェイク失敗の詳細を確認します。 (注:-Prisma Accessキャプチャは次の人だけが行うことができますTAC)
• キャプチャが表示されますTLSサーバー側からのハンドシェイクの失敗。

• 動作状態のクライアント マシンでパケット キャプチャを実行します。
• これは、クライアントをバイパスすることで実行できます。NGFW /Prisma AccessパスまたはバイパスURL復号化から。
• パケットの Server Hello 部分を確認し、サーバーによって選択された暗号スイートを書き留めます。
• この情報は、サーバーが受け入れた暗号スイートのすべてのパラメータが有効になっているかどうかを確認するために使用できます。SSLプロキシ復号化プロファイルを転送し、不足しているパラメータを見つけます。

• ここで、前のキャプチャを再度分析して、Client Hello を確認します。 該当する暗号スーツのリストを確認してください。いいえサーバーによって受け入れられた暗号スイートが含まれます。

• サーバーによってサポートおよび受け入れられた暗号スイートがクライアント hello の一部として送信されていないことがはっきりとわかります。したがって、ハンドシェイクの失敗が予想されます。
• チェックしてくださいSSL復号化ルールに関連付けられたフォワード プロキシ復号化プロファイルで、SHA1 認証アルゴリズムがオフになっていることを確認します。

GUI:オブジェクト > 復号化 > 復号化プロファイル > (名前) >SSH復号化 >SSLプロトコル設定

• これが、暗号スイート TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA が送信中に送信されない理由です。SSL復号化。
• このフォワード プロキシ復号化プロファイルで SHA1 を有効にすると、この問題が解決されます。
• 同じ手順を適用して、SSLフォワード プロキシ復号化プロファイルが原因で問題が発生するTLSハンドシェーク。
• 参照SSLフォワードプロキシ復号化プロファイル詳細についてはSSLフォワードプロキシ復号化プロファイル

同様の記事を参照してください:根本原因を特定する方法SSL復号化の失敗