La conexión del usuario se descifra aleatoriamente o no se descifra de acuerdo con la configuración de descifrado debido a la compatibilidad con TLS1.3 Kyber en el navegador

• El descifrado SSL está configurado correctamente.
• La conexión de algunos usuarios no siempre se descifra según la configuración.
• Algunos usuarios con la opción "no-descifrar" establecida todavía están descifrados.

• Palo Alto Firewalls
• PAN-OS compatible
• Acceso Prisma
• Navegador moderno (como el navegador Chrome 124 y versiones posteriores)

• Este problema se debe a la compatibilidad con Kyber hibridado TLS 1.3 en los navegadores modernos - Enlace de referencia .
• Por lo tanto, el paquete de saludo del cliente SSL se vuelve demasiado grande y fragmentado. Cuando el firewall recibe los paquetes de saludo de cliente fragmentados, el descifrado SSL no funciona correctamente en cuanto al saludo de cliente de un solo paquete.

1. El problema se soluciona en PAN-247099 en PAN-OS 10.2.11, 11.0.7, 11.2.2 y versiones posteriores.
2. También se corregirá en la próxima versión 11.0.7.
3. El problema también se ha corregido en algunas de las versiones de revisión de diferentes PAN-OS. (Consulte la lista a continuación.

11.2.2, 11.2.3, 10.2.11, 11.1.5, 11.0.7, 12.1.0, 10.2.7-h11, 11.1.3-h2, 10.2.9-h9, 10.2.10-h2, 11.1.2-h9, 10.2.8-h10, 10.2.4-h25, 11.1.4-h4 

Solución alternativa:  

1. Abra una nueva pestaña del navegador.
2. Copie y pegue lo siguiente en la pestaña Edge o Chrome.

edge://flags/#enable-tls13-kyber

chrome://flags/#enable-tls13-kyber

3. Establezca la opción en Deshabilitado.
4. Reinicie el navegador y pruebe la conexión y vea si está descifrada o no descifrada correctamente.