¿Se admiten certificados entre firmas para la verificación de certificados de servidor?

• SSL Proxy de reenvío configurado en las redes de Palo Alto firewall ( GUI : Directivas > descifrado)
• Perfil de descifrado configurado ( GUI : Objetos > Descifrado > Perfil de descifrado)
• En el perfil de descifrado, la opción está habilitada para "Bloquear sesiones con certificados caducados":

• All PAN-OS
• Palo Alto Firewall

Durante el TLS apretón de manos, algunos servidores https envían toda la cadena de certificados, incluida una raíz caducada. CA La mayoría de los navegadores modernos construirán la "cadena de confianza" en una raíz firmada cruzada válida CA si hay una disponible. Como consecuencia, estos exploradores no muestran advertencias de certificado.

Los firewalls de Palo Alto Networks requieren que el servidor presente una cadena de certificados adecuada y completa. Si una aplicación ofrece una cadena de certificados incompleta o una cadena con certificados caducados, los firewalls validarán cada certificado de la cadena tal como se presenta y calcularán el resultado. Aquí, el firewall consideraría el sitio como no confiable dada la raíz presentada por el servidor ha CA expirado.

Con un perfil de descifrado configurado para bloquear sesiones con certificados caducados, las redes de Palo Alto firewall bloquearán la sesión y presentarán al usuario final una página de bloque de errores de certificado al recibir el certificado caducado antes mencionado CA en la cadena de certificados.

La solución está disponible en las versiones PAN-OS mencionadas anteriormente.

Consulte este post LIVEcommunity para obtener información adicional sobre las mejoras de certificados con firma cruzada.