Les certificats transsignés sont-ils pris en charge pour la vérification des certificats de serveur ?

• SSL Proxy forward configuré sur les réseaux de Palo Alto firewall ( : Politiques > GUI Décryptage)
• Profil de décryptage configuré GUI ( : Objets > décryptage > profil de décryptage)
• Dans le profil de décryptage, l’option est activée pour les sessions de bloc avec certificats expirés :

• Unll PAN-OS
• Palo Alto (Palo Alto) Firewall

Pendant la poignée TLS de main, certains serveurs https envoyer toute la chaîne de certificats, y compris une racine expirée CA . La plupart des navigateurs modernes construiront la « chaîne de confiance » à une racine valide signée croisée si CA l’un d’eux est disponible. Par conséquent, ces navigateurs n’affichent aucun avertissement de certificat.

Les pare-feu de Palo Alto Networks exigent que le serveur présente une chaîne de certificats complète et appropriée. Si une demande offre une chaîne de certificats incomplète ou une chaîne avec des certificats périmés, les pare-feu valideront chaque certificat de la chaîne tel qu’il est présenté et calculeront le résultat. Ici, le firewall jugerait le site comme non sécurisé étant donné la CA racine présentée par le serveur a expiré.

Avec un profil de décryptage configuré pour bloquer les sessions avec des certificats expirés, les réseaux Palo Alto bloqueront la session et présenteront à l’utilisateur final une page de bloc d’erreur de certificat firewall lors de la réception du certificat expiré susmentionné dans la chaîne de CA certificats.

La solution est disponible dans les versions mentionnées PAN-OS ci-dessus.

Consultez ce message livecommunity pour plus d’informations sur les améliorations de certificats signées croisées.