Les pare-feu PaloAlto initient le trafic vers les adresses IP de GoDaddy

• L' interface du pare-feu envoie le trafic HTTP vers les URL GoDaddy ci-dessous.

certificates[.]godaddy[.]com
ocsp[.]godaddy[.]com

• Le trafic utilise le port 80 et peut être vu dans une packet capture (capture de paquet - pcap) pour les adresses IP indiquées ci-dessous.

192.124.249.31
192.124.249.36
192.124.249.24
192.124.249.41

• Tous les appareils Palo Alto
• Système d'exploitation PAN pris en charge

• Certains services de Palo Alto ont leur certificat délivré par GoDaddy. En voici quelques exemples notables :

wildfire[.]paloaltonetworks[.]com
updates[.]paloaltonetworks[.]com
ace[.]hawkeye[.]services-edge[.]paloaltonetworks[.]com

• Lorsque le pare-feu communique avec ces services, il initie une négociation SSL . La majorité de ces certificats sont équipés de contrôles OCSP , permettant la validation de ces certificats.
• La capture d'écran ci-dessous montre que le certificat pour « updates[.]paloaltonetworks[.]com » a été émis par GoDaddy CA De plus, le champ « Accès aux informations d'autorité » du certificat contient les détails de URL OCSP .
• Par conséquent, le trafic dirigé vers les sites GoDaddy fait partie intégrante de ce contrôle OSCP.
  

1. Le trafic observé est anticipé et constitue une partie cruciale du contrôle OCSP .
2. En cas d'appréhension, les clients peuvent arrêter ce trafic en désactivant la case à cocher « Vérifier l'identité du serveur de mettre à jour » dans les paramètres du Pare-feu/Panorama.
3. Cela peut être fait dans l'interface graphique : Appareil/Panorama > Configuration > Services > Global > « Décocher » Vérifier l'identité du serveur de mise à jour , puis valider les modifications.