Während der Entschlüsselung des Datenverkehrs brechen einige URL mit dem Fehler „SEC_ERROR_BAD_SIGNATURE“ in Firefox und „ERR_CERT_AUTHORITY_INVALID“ in Chrome ab

• Die Site zeigt beim Besuch eine Zertifikat als nicht vertrauenswürdig an
  • In Chrome: ::ERR_CERT_AUTHORITY_INVALID
  • Der Fehler lautet „SEC_ERROR_BAD_SIGNATURE“ in Firefox
• Durch Überprüfen der Zertifizierungsstelle, die das Zertifikat signiert hat, wird das vertrauenswürdige CA Zertifikat angezeigt, das für die weiter -Proxy- Entschlüsselung verwendet wird.
• Beim Extrahieren des Zertifikat aus dem pcap des Clientcomputers oder aus dem Browser und Überprüfen des Zertifikats, ob es ordnungsgemäß anhand der vertrauenswürdigen CA Kette signiert ist, schlägt die Überprüfung fehl:

root@dmz-10:/HSM-issue/lab-analysis/testing-certs-lab# openssl verify -verbose -CAfile chain.pem not-working1.pem 
CN = *.google.com
error 7 at 0 depth lookup: certificate signature failure
error not-working1.pem: verification failed
140264511223104:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:../crypto/asn1/a_verify.c:170:

• Firewalls von Palo Alto Networks .
• PAN-OS 10.2.x und höher.
• Das Forward Trust ECDSA Zertifikat mit einem privaten Schlüssel befindet sich auf dem HSM.

1. Bei Verwendung eines weiter -Proxys mit HSM und einem ECDSA- Zertifikat berücksichtigt die ASN1-Kodierung einer Ganzzahl die Signierbarkeit der Daten nicht, wenn führende Nullen vorhanden sind. Dies führt dazu, dass von FW erstellte MitM- Zertifikat bei der Überprüfung durch den HSM mit OpenSSL zufällig fehlschlagen.
2. Im Falle von (ECDSA) und starkem Datenverkehr oder gleichzeitigen Verbindungen zur gleichen URL versucht FW, mehrere MiTM-Zertifikate zur gleichen URL zu erstellen und verwendet dabei den gleichen Zertifikatseintragspuffer im Cache, was zu einer beschädigten Zertifikat führt.

1. Löschen Sie den SSL Zertifikat mit dem folgenden Befehl:

admin@PA-10.2> debug dataplane reset ssl-decrypt certificate-cache 

deleted 49 cert entries.

2. Nach der Behebung ist das Problem behoben. Die Site ist wieder vertrauenswürdig und es liegen keine Zertifikat vor.
3. Das Problem wurde in den folgenden Versionen und späteren Versionen behoben:
   1. 11.1.10-h1, 11.1.6-h13
   2. 10.2.15, 10.2.17, 10.2.13-h8, 10.2.10-h19
   3. 11.2.6, 11.2.8
4. Die dauerhafte Lösung besteht darin, auf eine der oben genannten Versionen oder höher zu aktualisieren.

• PAN-OS-Integration mit SafeNet Luna SA HSM – Integrationshandbuch .
  
• Einrichten der Konnektivität mit einem SafeNet-Netzwerk HSM
  
  
• Darüber hinaus werden zusätzliche Fehlerbehebungen integriert:
  
  • HSM - TLS1.3 SSL Forward Proxy Die Verbindung zum externen Netzwerk schlägt beim ersten Versuch fehl
  • HSM– Die erste TLS 1.3- Sitzung für den weiter -Proxy bleibt hängen, wenn sich der private Schlüssel des Forward-Trust Zertifikat auf HSM befindet.