La connexion de l'utilisateur est déchiffrée de manière aléatoire ou non déchiffrée selon la configuration de décryptage en raison de la prise en charge de TLS1.3 Kyber sur le navigateur

• Le décryptage SSL est correctement configuré.
• La connexion de certains utilisateurs n’est pas toujours déchiffrée conformément à la configuration.
• Certains utilisateurs avec l’option « no-decrypt » définie sont toujours décryptés.

• Pare-feu Palo Alto
• PAN-OS pris en charge
• Accès Prisma
• Navigateur moderne (comme Chrome Browser 124 et supérieur)

• Ce problème est causé par la prise en charge de Kyber hybride TLS 1.3 sur les navigateurs modernes - Lien de référence .
• Le paquet Hello du client SSL devient donc trop volumineux et fragmenté. Lorsque les paquets Hello Client Hello, fragmentés, ne fonctionnent pas correctement pour le Hello Client à paquet unique.

1. Le problème est résolu sous PAN-247099 dans PAN-OS 10.2.11, 11.0.7, 11.2.2 et versions ultérieures.
2. Il sera également corrigé dans la prochaine version 11.0.7.
3. Le problème est également résolu dans certaines versions de correctifs de différents PAN-OS. (Voir la liste ci-dessous.

11.2.2, 11.2.3, 10.2.11, 11.1.5, 11.0.7, 12.1.0, 10.2.7-h11, 11.1.3-h2, 10.2.9-h9, 10.2.10-h2, 11.1.2-h9, 10.2.8-h10, 10.2.4-h25, 11.1.4-h4 

Solution :  

1. Ouvrez un nouvel onglet du navigateur.
2. Copiez et collez ce qui suit dans l’onglet Edge ou Chrome.

edge://flags/#enable-tls13-kyber

chrome://flags/#enable-tls13-kyber

3. Définissez l’option sur Désactivé.
4. Redémarrez le navigateur et testez la connexion pour voir si elle est correctement déchiffrée/non déchiffrée.