クロス署名証明書はサーバー証明書の検証でサポートされていますか?

• SSL パロアルトネットワークで設定されたフォワードプロキシ firewall ( GUI : ポリシー>復号化)
• 構成された復号化プロファイル ( GUI : 復号化>復号化プロファイル>オブジェクト)
• 復号化プロファイルでは、このオプションは「期限切れの証明書を持つセッションをブロックする」に対して有効になります。

• すべて PAN-OS
• パロアルト Firewall

TLSハンドシェイク中に、一部の https サーバは、期限切れのルートを含む証明書チェーン全体を送信 CA します。 最近のブラウザーでは、有効なクロス署名ルートに "信頼チェーン" が CA 構築されます (使用可能な場合)。 その結果、これらのブラウザーでは証明書の警告は表示されません。

パロアルトネットワークスのファイアウォールは、サーバーが適切な完全な証明書チェーンを提示する必要があります。 アプリケーションが不完全な証明書チェーンまたは期限切れの証明書を持つチェーンを提供する場合、ファイアウォールは、提示されたとおりにチェーン内の各証明書を検証し、結果を計算します。 ここでは、 firewall サーバーによって提示されたルートが期限切れになっている場合、サイトは信頼されていないものと見 CA なされます。

証明書の期限切れのセッションをブロックするように構成された Decryption Profile を使用すると、Palo Alto Networks firewall は、前述の期限切れ証明書を証明書チェーンで受信すると、セッションをブロックし、エンドユーザに証明書エラー ブロック ページ CA を表示します。

このソリューションは、上記のバージョンで入手できます PAN-OS 。

クロス署名証明書の機能強化の詳細については、この LIVEcommunityの投稿を参照してください。