트래픽 복호화(decryption) 중 일부 URL Firefox에서는 "SEC_ERROR_BAD_SIGNATURE" 오류, Chrome에서는 "ERR_CERT_AUTHORITY_INVALID" 오류로 인해 끊어졌습니다.

• 사이트를 방문하면 언트러스티드(untrusted) 인증 알림이 표시됩니다.
  • Chrome에서: ::ERR_CERT_AUTHORITY_INVALID
  • Firefox에서 "SEC_ERROR_BAD_SIGNATURE" 오류가 발생합니다.
• 서버 인증 서명한 인증 기관을 확인하면, 포워드 프록시 복호화(decryption) 에 사용되는 신뢰할 수 있는 CA 인증 표시됩니다.
• 클라이언트 머신이나 브라우저 에서 가져온 pcap 에서 인증 추출하고 신뢰할 수 있는 CA 체인에 대해 인증서가 적절하게 서명되었는지 확인하려고 하면 확인이 실패합니다.

root@dmz-10:/HSM-issue/lab-analysis/testing-certs-lab# openssl verify -verbose -CAfile chain.pem not-working1.pem 
CN = *.google.com
error 7 at 0 depth lookup: certificate signature failure
error not-working1.pem: verification failed
140264511223104:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:../crypto/asn1/a_verify.c:170:

• Palo Alto Networks 방화벽.
• PAN-OS 10.2.x 이상.
• 개인 키가 포함된 전방 신뢰 ECDSA 인증 HSM 에 있습니다.

1. HSM 과 ECDSA 서명 인증 있는 포워드 프록시를 사용하는 경우, 정수의 ASN1 인코딩은 HSM 사용하여 MitM 인증 서명에 사용할 때 앞에 0이 있는 경우 데이터의 서명 여부를 고려하지 않습니다. 이로 인해 FW에서 생성된 MitM 인증서가 클라이언트가 OpenSSL을 사용하여 검증할 때 무작위로 실패하는 문제가 발생합니다.
2. (ECDSA)의 경우 트래픽이 많거나 동일한 URL 에 동시 연결이 있는 경우 FW는 동일한 URL 에 대해 여러 MiTM 인증서를 생성하려고 하며 캐시에 있는 동일한 인증서 항목 버퍼를 사용하여 인증 시그니처 손상됩니다.

1. 다음 명령을 사용하여 SSL 복호화 인증 캐시를 지웁니다.

admin@PA-10.2> debug dataplane reset ssl-decrypt certificate-cache 

deleted 49 cert entries.

2. 문제가 해결되면 사이트가 다시 신뢰됩니다. 인증 오류도 발생하지 않습니다.
3. 이 문제는 다음 릴리스에서 해결되었습니다.
   1. 11.1.10-h1, 11.1.6-h13
   2. 10.2.15, 10.2.17, 10.2.13-h8, 10.2.10-h19
   3. 11.2.6, 11.2.8
4. 영구적인 해결책은 위에 나열된 버전 중 하나로 업그레이드하는 것입니다.

• SafeNet Luna SA HSM 과 PAN-OS 통합 - 통합 가이드 .
  
• SafeNet 네트워크 HSM 으로 연결 설정
  
  
• 추가적인 수정 사항도 통합될 예정입니다.
  
  • HSM - TLS1.3 SSL 포워드 프록시 외부 네트워크 연결이 첫 번째 시도에서 실패합니다.
  • HSM - 전달 신뢰 인증 의 개인 키가 HSM 에 있는 경우 포워드 프록시의 첫 번째 TLS 1.3 세션 중단됩니다.