PaloAltoファイアウォールはGoDaddy IPアドレスへのトラフィックを開始します

• ファイアウォールインターフェイスは、以下の GoDaddy URL にHTTPトラフィックを送信します。

certificates[.]godaddy[.]com
ocsp[.]godaddy[.]com

• トラフィックはポート 80 を使用しており、以下に示す IP アドレスのpacket capture ( パケット キャプチャ - pcap)で確認できます。

192.124.249.31
192.124.249.36
192.124.249.24
192.124.249.41

• Palo Altoデバイス
• サポートされているPAN-OS

• 一部の Palo Alto サービスの証明書はGoDaddy によって発行されています。注目すべき例は次のとおりです。

wildfire[.]paloaltonetworks[.]com
updates[.]paloaltonetworks[.]com
ace[.]hawkeye[.]services-edge[.]paloaltonetworks[.]com

• ファイアウォールがこれらのサービスと通信する場合、 SSLハンドシェイクを開始します。これらの証明書の大部分にはOCSPチェックが装備されており、これらの証明書の検証が可能です。
• 以下のスクリーンショットは、「 updates[.]paloaltonetworks[.]com 」の証明書がGoDaddy CAによって発行されたことを示しています。さらに、証明書の「認証情報アクセス」フィールドにはOCSP URL の詳細が含まれています。
• したがって、GoDaddy サイトに向けられたトラフィックは、この OSCP チェックの不可欠な要素となります。
  

1. 観察されたトラフィックは予測され、 OCSPチェックの重要な部分を形成します。
2. 懸念がある場合は、ファイアウォール/Panorama 設定で「更新するサーバーの ID を確認する」チェックを無効にすることで、このトラフィックを停止できます。
3. これは、GUI で実行できます:デバイス/パノラマ > セットアップ > サービス > グローバル > 更新サーバー ID の確認のチェックを外し、変更をコミットする。