ブラウザのTLS1.3 Kyberサポートにより、ユーザーの接続は復号化設定に従ってランダムに復号化されるか、復号化されません

• SSL 復号化が正しく設定されている。
• 一部のユーザー接続は、設定に従って常に復号化されるとは限りません。
• 「no-decrypt」オプションが設定されている一部のユーザーはまだ復号化されています。

• パロアルトのファイアウォール
• サポートされている PAN-OS
• プリズマアクセス
• 最新のブラウザ(Chrome Browser 124以降など)

• この問題は、最新のブラウザーでの TLS 1.3 ハイブリッド化された Kyber サポートが原因です - 参照リンク 。
• そのため、SSL クライアントの hello パケットが大きくなりすぎてフラグメント化されます。 フラグメント化されたClient helloパケットがファイアウォールによって受信されると、SSL復号化は単一パケットのClient helloに関して正しく機能していません。

1. この問題は、PAN-OS 10.2.11、11.0.7、11.2.2 以降のバージョンのPAN-247099 で 解決されています。
2. また、今後の11.0.7バージョンでも修正される予定です。
3. この問題は、さまざまな PAN-OS の一部のホットフィックス バージョンでも修正されています。 (以下のリストを参照してください。

11.2.2, 11.2.3, 10.2.11, 11.1.5, 11.0.7, 12.1.0, 10.2.7-h11, 11.1.3-h2, 10.2.9-h9, 10.2.10-h2, 11.1.2-h9, 10.2.8-h10, 10.2.4-h25, 11.1.4-h4 

回避策:  

1. 新しいブラウザタブを開きます。
2. 以下をコピーして、EdgeまたはChromeタブに貼り付けます。

edge://flags/#enable-tls13-kyber

chrome://flags/#enable-tls13-kyber

3. オプションを [無効] に設定します。
4. ブラウザを再起動して接続をテストし、正しく復号化されている/復号化されていないかどうかを確認します。