トラフィックの復号化中に、Firefox では「SEC_ERROR_BAD_SIGNATURE」エラー、Chrome では「ERR_CERT_AUTHORITY_INVALID」エラーが発生し、一部のURLが破損します。

• サイトにアクセスすると、信頼されていない証明書の通知が表示されます
  • Chromeの場合: ::ERR_CERT_AUTHORITY_INVALID
  • Firefox でエラー「SEC_ERROR_BAD_SIGNATURE」が発生する
• サーバー証明書に署名した証明機関を確認すると、転送プロキシ復号化に使用される信頼されたCA証明書が表示されます。
• クライアント マシンから取得したpcapまたはブラウザから証明書を抽出し、信頼できるCAチェーンに対して証明書が適切に署名されているかどうかを検証すると、検証は失敗します。

root@dmz-10:/HSM-issue/lab-analysis/testing-certs-lab# openssl verify -verbose -CAfile chain.pem not-working1.pem 
CN = *.google.com
error 7 at 0 depth lookup: certificate signature failure
error not-working1.pem: verification failed
140264511223104:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:../crypto/asn1/a_verify.c:170:

• Palo Alto Networksファイアウォール。
• PAN-OS 10.2.x 以上。
• 秘密キーを持つフォワード トラスト ECDSA証明書はHSM上に存在します。

1. HSMとECDSA署名証明証明書を用いた転送プロキシを使用する場合、中間者証明書の署名にHSMを使用する際に、整数のASN1エンコーディングにおいて、先頭にゼロがある場合、データの符号が考慮されません。このため、FWによって作成された中間者証明書は、OpenSSLを使用したクライアントによる検証時にランダムに失敗することがあります。
2. (ECDSA) の場合、トラフィック量が多い、または同じURLに同時接続があると、FW は同じURLに複数の MiTM 証明書を作成しようとし、キャッシュ内の同じ証明書エントリ バッファーを使用して証明書のシグネチャが破損します。

1. 次のコマンドを使用して、 SSL復号化証明書キャッシュをクリアします。

admin@PA-10.2> debug dataplane reset ssl-decrypt certificate-cache 

deleted 49 cert entries.

2. クリアすると問題は解決し、サイトは再び信頼され、証明書エラーは発生しなくなります。
3. この問題は次のリリース以降で修正されています。
   1. 11.1.10-h1、11.1.6-h13
   2. 10.2.15、10.2.17、10.2.13-h8、10.2.10-h19
   3. 11.2.6、11.2.8
4. 永続的な修正方法は、上記のいずれか、またはそれ以上のバージョンにアップグレードすることです。

• SafeNet Luna SA HSMとの PAN-OS 統合 - 統合ガイド。
  
• SafeNetネットワークHSMとの接続を設定する
  
  
• 追加の修正も組み込まれます。
  
  • HSM - TLS1.3 SSLフォワードプロキシ外部ネットワークへの接続が最初の試行で失敗しました
  • HSM - フォワード信頼証明書の秘密キーがHSM上に存在する場合、転送プロキシの最初のTLS 1.3セッションが停止します。