Lors du décryptage du trafic, certaines URL se brisent avec l'erreur « SEC_ERROR_BAD_SIGNATURE » sur Firefox, et « ERR_CERT_AUTHORITY_INVALID » sur Chrome

• Le site, lorsqu'il est visité, présente une notification de certificat comme non approuvée
  • Sur Chrome : ::ERR_CERT_AUTHORITY_INVALID
  • L'erreur est « SEC_ERROR_BAD_SIGNATURE » sur Firefox
• La vérification de l'autorité de certification qui a signé le certificat du serveur affiche le certificat CA de confiance utilisé pour le décryptage du proxy de transférer .
• En extrayant le certificat du pcap pris à partir de la machine cliente ou du navigateur et en vérifiant si le certificat est correctement signé par rapport à la chaîne CA de confiance, la vérification échoue :

root@dmz-10:/HSM-issue/lab-analysis/testing-certs-lab# openssl verify -verbose -CAfile chain.pem not-working1.pem 
CN = *.google.com
error 7 at 0 depth lookup: certificate signature failure
error not-working1.pem: verification failed
140264511223104:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:../crypto/asn1/a_verify.c:170:

• Pare-feu Palo Alto Networks .
• PAN-OS 10.2.x et supérieur.
• Le certificat ECDSA de confiance directe avec une clé privée réside sur HSM.

1. Lors de l'utilisation d'un proxy transférer avec HSM et d'un certificat de signature ECDSA, le codage ASN1 d'un entier ne prend pas en compte la signature des données lorsqu'il y a des zéros non significatifs lors de l'utilisation de HSM pour les signatures de certificat MitM. Cela entraîne l'échec aléatoire des certificats MitM créés par le pare-feu lors de leur vérification par le client via OpenSSL.
2. En cas de trafic important (ECDSA) ou de connexions simultanées vers la même URL, FW tente de créer plusieurs certificats MiTM vers la même URL et d'utiliser le même tampon d'entrée de certificat dans le cache, ce qui conduit à la signature du certificat corrompue.

1. Effacez le cache du certificat de décryptage SSL à l’aide de la commande suivante :

admin@PA-10.2> debug dataplane reset ssl-decrypt certificate-cache 

deleted 49 cert entries.

2. Une fois le problème résolu, le site est à nouveau approuvé et ne présente plus d'erreurs de certificat .
3. Le problème est résolu dans les versions suivantes et ultérieures :
   1. 11.1.10-h1, 11.1.6-h13
   2. 10.2.15, 10.2.17, 10.2.13-h8, 10.2.10-h19
   3. 11.2.6, 11.2.8
4. La solution permanente consiste à effectuer une mise à niveau vers l'une des versions ci-dessus et supérieures.

• Intégration PAN-OS avec SafeNet Luna SA HSM - Guide d'intégration .
  
• Configurer la connectivité avec un HSM réseau SafeNet
  
  
• Des correctifs supplémentaires seront également intégrés :
  
  • HSM - TLS1.3 SSL Forward proxy La connexion au réseau externe échoue lors de la première tentative
  • HSM - La première session TLS 1.3 pour le proxy transférer se bloque lorsque la clé privée du certificat de confiance directe réside sur HSM.