Durante el descifrado del tráfico, algunas URL se rompen con el error "SEC_ERROR_BAD_SIGNATURE" en Firefox y "ERR_CERT_AUTHORITY_INVALID" en Chrome.

• Al visitar el sitio, se muestra una notificación de certificado como no fiable.
  • En Chrome: ::ERR_CERT_AUTHORITY_INVALID
  • El error es "SEC_ERROR_BAD_SIGNATURE" en Firefox
• Al verificar la autoridad de certificación que firmó el certificado del servidor, se muestra el certificado de CA confiable que se utiliza para el descifrado del proxy de reenviar .
• Al extraer el certificado del pcap tomado de la máquina cliente o del explorador y verificar si el certificado está firmado correctamente contra la cadena de CA confiable, la verificación falla:

root@dmz-10:/HSM-issue/lab-analysis/testing-certs-lab# openssl verify -verbose -CAfile chain.pem not-working1.pem 
CN = *.google.com
error 7 at 0 depth lookup: certificate signature failure
error not-working1.pem: verification failed
140264511223104:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:../crypto/asn1/a_verify.c:170:

• Cortafuegos de Palo Alto Networks .
• PAN-OS 10.2.x y superior.
• El certificado ECDSA de confianza directa con una clave privada reside en el HSM.

1. Al usar un proxy de reenviar con HSM y un certificado de firma ECDSA, la codificación ASN1 de un entero no considera el signo de los datos cuando hay ceros a la izquierda al usar HSM para firmas de certificado MitM. Esto provoca que los certificados MitM creados por FW fallen aleatoriamente al ser verificados por el cliente mediante OpenSSL.
2. En el caso de (ECDSA) y tráfico pesado o conexiones simultáneas a la misma URL, FW intenta crear múltiples certificados MiTM en la misma URL y utiliza el mismo búfer de entrada de certificado en el caché, lo que genera una firma de certificado corrupta.

1. Borre la caché del certificado de descifrado SSL mediante el siguiente comando:

admin@PA-10.2> debug dataplane reset ssl-decrypt certificate-cache 

deleted 49 cert entries.

2. Una vez solucionado, el problema se resuelve. El sitio vuelve a ser confiable sin errores de certificado .
3. El problema se solucionó en las siguientes versiones y posteriores:
   1. 11.1.10-h1, 11.1.6-h13
   2. 10.2.15, 10.2.17, 10.2.13-h8, 10.2.10-h19
   3. 11.2.6, 11.2.8
4. La solución permanente es actualizar a cualquiera de las opciones anteriores o superiores.

• Integración de PAN-OS con SafeNet Luna SA HSM - Guía de integración .
  
• Configurar la conectividad con un HSM de red SafeNet
  
  
• También se incorporarán correcciones adicionales:
  
  • HSM - Proxy de reenvío SSL TLS1.3 La conexión a la red externa falla en el primer intento
  • HSM : la primera sesión TLS 1.3 para el proxy de reenviar se bloquea cuando la clave privada del certificado de confianza de reenvío reside en HSM.