Die Verbindung des Benutzers wird gemäß der Entschlüsselungskonfiguration aufgrund der TLS1.3 Kyber-Unterstützung im Browser nach dem Zufallsprinzip oder nicht entschlüsselt

• Die SSL-Entschlüsselung ist ordnungsgemäß konfiguriert.
• Einige Benutzerverbindungen werden nicht immer gemäß der Konfiguration entschlüsselt.
• Einige Benutzer mit der Option "no-decrypt" werden immer noch entschlüsselt.

• Palo Alto Firewalls
• Unterstütztes PAN-OS
• Prisma-Zugang
• Moderner Browser (z. B. Chrome Browser 124 und höher)

• Dieses Problem wird durch die hybridisierte Kyber-Unterstützung von TLS 1.3 in den modernen Browsern verursacht - Referenzlink .
• Das Hello-Paket des SSL-Clients wird also zu groß und fragmentiert. Wenn die fragmentierten Client-Hello-Pakete von der Firewall empfangen werden, funktioniert die SSL-Entschlüsselung für das Client-Hello mit einem einzelnen Paket nicht ordnungsgemäß.

1. Das Problem wird unter PAN-247099 in PAN-OS 10.2.11, 11.0.7, 11.2.2 und höheren Versionen behoben.
2. Es wird auch in der kommenden Version 11.0.7 behoben sein.
3. Das Problem wurde auch in einigen der Hotfix-Versionen verschiedener PAN-OS behoben. (Siehe Liste unten.

11.2.2, 11.2.3, 10.2.11, 11.1.5, 11.0.7, 12.1.0, 10.2.7-h11, 11.1.3-h2, 10.2.9-h9, 10.2.10-h2, 11.1.2-h9, 10.2.8-h10, 10.2.4-h25, 11.1.4-h4 

Problemumgehung:  

1. Öffnen Sie einen neuen Browser-Tab.
2. Kopieren Sie die folgenden Informationen und fügen Sie sie auf der Registerkarte Edge oder Chrome ein.

edge://flags/#enable-tls13-kyber

chrome://flags/#enable-tls13-kyber

3. Legen Sie die Option auf Deaktiviert fest.
4. Starten Sie den Browser neu und testen Sie die Verbindung, um zu prüfen, ob sie korrekt entschlüsselt/nicht entschlüsselt wurde.