由于浏览器支持 TLS1.3 Kyber，根据解密配置，用户的连接被随机解密或不解密

• SSL 解密已正确配置。
• 某些用户连接并不总是根据配置进行解密。
• 一些设置了 “no-decrypt” 选项的用户仍会被解密。

• 帕洛阿尔托防火墙
• 支持的 PAN-OS
• 棱镜访问
• 现代浏览器（如 Chrome 浏览器 124 及更高版本）

• 此问题是由现代浏览器上的 TLS 1.3 混合 Kyber 支持引起的 - 参考链接 。
• 因此，SSL 客户端你好数据包变得太大且碎片化。 当防火墙收到分段的客户端你好数据包时，SSL 解密对于单数据包客户端你好无法正常工作。

1. 此问题已在 PAN-OS 10.2.11、11.0.7、11.2.2 及更高版本的PAN-247099 下 得到解决。
2. 它也将在即将推出的 11.0.7 版本中修复。
3. 该问题也在不同 PAN-OS 的某些修补程序版本中得到修复。 （请参阅下面的列表。

11.2.2, 11.2.3, 10.2.11, 11.1.5, 11.0.7, 12.1.0, 10.2.7-h11, 11.1.3-h2, 10.2.9-h9, 10.2.10-h2, 11.1.2-h9, 10.2.8-h10, 10.2.4-h25, 11.1.4-h4 

解决方法：  

1. 打开新的浏览器选项卡。
2. 将以下内容复制并粘贴到 Edge 或 Chrome 选项卡。

edge://flags/#enable-tls13-kyber

chrome://flags/#enable-tls13-kyber

3. 将选项设置为 Disabled （禁用）。
4. 重新启动浏览器并测试连接，并查看它是否已正确解密/未解密。