Werden signierte Zertifikate für die Serverzertifikatüberprüfung unterstützt?
Question
Werden crosssignierte Serverzertifikate, die für eine https-Website ausgestellt werden, unterstützt, wenn die Serverzertifikatüberprüfung in einem Entschlüsselungsprofil aktiviert ist?
- SSL Forward Proxy konfiguriert auf den Palo Alto Netzwerken firewall ( : Richtlinien > GUI Entschlüsselung)
- Entschlüsselungsprofil konfiguriert ( GUI : Objekte > Entschlüsselung > Entschlüsselungsprofil)
- Im Entschlüsselungsprofil ist die Option für "Sitzungen mit abgelaufenen Zertifikaten blockieren" aktiviert:
Environment
- All PAN-OS
- Palo Alto Firewall
Answer
In früheren Versionen von , PAN-OS wenn eine https-Webseite eine Zertifikatkette mit einem abgelaufenen Root-ca vorstellte, wurde die SSL Sitzung blockiert. Dies würde auch dann der Fall sein, wenn ein nicht abgelaufenes kreuzsigniertes Stammzertifikat vorhanden ist. Weitere Informationen zu diesem Verhalten finden Sie in den folgenden weiteren Informationen.
Die Unterstützung für kreuzsignierte Zertifikate wurde in den folgenden Versionen von PAN-OS hinzugefügt:
- 9.1.3-h1 oder höher
- 9.0.9-h1 oder höher
- 8.1.15-h3 oder höher
Additional Information
Während des TLS Handshakes senden einige https-Server die gesamte Zertifikatkette einschließlich eines abgelaufenen Stamms CA . Die meisten modernen Browser erstellen die "Vertrauenskette" zu einem gültigen kreuzsignierten CA Stamm, sofern einer verfügbar ist. Daher werden von diesen Browsern keine Zertifikatwarnungen angezeigt.
Die Firewalls von Palo Alto Networks erfordern, dass der Server eine ordnungsgemäße, vollständige Zertifikatskette vorlegt. Wenn eine Anwendung eine unvollständige Zertifikatkette oder eine Kette mit abgelaufenen Zertifikaten anbietet, überprüfen die Firewalls jedes Zertifikat in der kette, wie dargestellt, und berechnen das Ergebnis. Hier würde der firewall die Site als nicht vertrauenswürdig anweisen, da der vom Server dargestellte Stamm abgelaufen CA ist.
Wenn ein Entschlüsselungsprofil zum Blockieren von Sitzungen mit abgelaufenen Zertifikaten konfiguriert ist, blockieren die Palo Alto-Netzwerke firewall die Sitzung und stellen dem Endbenutzer beim Erhalt des oben genannten abgelaufenen Zertifikats in der Zertifikatkette eine Zertifikatsfehlerblockseite CA vor.
Die Lösung ist in den oben genannten Versionen PAN-OS verfügbar.
Weitere Informationen zu den kreuzsignierten Zertifikatverbesserungen finden Sie in diesem LIVEcommunity-Beitrag.