在解密流量期间，某些URL中断，在 Firefox 上出现错误“SEC_ERROR_BAD_SIGNATURE”，在 Chrome 上出现错误“ERR_CERT_AUTHORITY_INVALID”

• 访问该网站时，会显示证书不可信的通知
  • 在 Chrome 上：::ERR_CERT_AUTHORITY_INVALID
  • Firefox 上的错误是“SEC_ERROR_BAD_SIGNATURE”
• 检查签署服务器证书的证书颁发机构，显示用于转发代理解密的受信任的CA证书。
• 从客户端计算机或浏览器中获取的pcap中提取证书，并验证证书是否根据受信任的CA链正确签名，验证失败：

root@dmz-10:/HSM-issue/lab-analysis/testing-certs-lab# openssl verify -verbose -CAfile chain.pem not-working1.pem 
CN = *.google.com
error 7 at 0 depth lookup: certificate signature failure
error not-working1.pem: verification failed
140264511223104:error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib:../crypto/asn1/a_verify.c:170:

• Palo Alto Networks防火墙。
• PAN-OS 10.2.x 及以上版本。
• 具有私钥的前向信任 ECDSA证书位于HSM上。

1. 当使用带有HSM和 ECDSA 签名证书的转发代理时，如果使用HSM进行中间人攻击 (MitM)证书签名时，整数的 ASN1 编码会忽略数据的符号性（如果前导零）。这会导致客户端使用 OpenSSL 验证由防火墙 (FW) 创建的中间人攻击 (MitM) 证书时随机失败。
2. 在 (ECDSA) 和大流量或对同一URL的并发连接的情况下，FW 会尝试为同一URL创建多个 MiTM 证书，并使用缓存中的相同证书条目缓冲区，从而导致证书签名损坏。

1. 使用以下命令清除SSL解密证书缓存：

admin@PA-10.2> debug dataplane reset ssl-decrypt certificate-cache 

deleted 49 cert entries.

2. 一旦清除，问题就解决了。该网站再次获得信任，并且没有证书错误。
3. 该问题已在以下版本及更高版本中修复：
   1. 11.1.10-h1, 11.1.6-h13
   2. 10.2.15、10.2.17、10.2.13-h8、10.2.10-h19
   3. 11.2.6, 11.2.8
4. 永久的解决方法是升级到上述版本或更高版本。

• PAN-OS 与 SafeNet Luna SA HSM集成 - 集成指南。
  
• 设置与 SafeNet Network HSM 的连接
  
  
• 还将纳入其他修复：
  
  • HSM - TLS1.3 SSL正向代理首次尝试连接外部网络失败
  • HSM - 当正向信任证书的私钥驻留在HSM上时，转发代理的第一个TLS 1.3会话会卡住。