Se produce un error en el acceso a un sitio específico con un error de certificado cuando SSL el proxy de reenvío está habilitado
21897
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:46 AM
Symptom
- El tráfico del usuario está sujeto a SSL descifrado por SSL proxy de reenvío.
- A El sitio específico es inaccesible cuando el tráfico está sujeto a SSL descifrado y el navegador muestra el siguiente error.
- Los siguientes registros de errores se muestran en los registros de descifrado
Environment
- Prisma Access Mobile Users
- Prisma Access Remote Networks
- Palo Alto Strata de próxima generación firewall (NGFW) con PanOS 10.0 o superior
Cause
- Esto se debe a un certificado raíz CA o intermedio CA no válido suministrado por el sitio en cuestión.
- El SSL proxy de reenvío tiene un SSL perfil de descifrado asociado que tiene marcado "Bloquear sesiones con emisores que no son de confianza".
- Esta opción hará que el proxy de reenvío compruebe si el SSL problema es de confianza o no.
- Si el emisor no está en la lista de confianza o no se proporciona la de confianza CA CA , se bloqueará el acceso.
- Si se accede al sitio desde otro cliente sin SSL inspección, se puede comprobar el certificado proporcionado por el servidor.
- Para este sitio, no había ninguna raíz CA suministrada por el servidor.
Resolution
- Esto no es un problema con el o el Prisma Access Palo Alto NGFW.
- Póngase en contacto con el administrador del sitio y pídale que solucione el problema del servidor y proporcione un certificado válido CA .
- Si el sitio es confiable de todos modos, hay 2 opciones disponibles.
- Cree una categoría personalizada URL solo para este sitio y omitirla desde el proxy de SSL reenvío.
- Como alternativa, cree una categoría personalizada URL solo para este sitio y otro SSL perfil de descifrado con la opción "Bloquear sesiones con emisores que no son de confianza" sin marcar.
Excluir un servidor del descifrado por razones técnicas
Additional Information
- Para obtener más información, realice una captura de paquetes en el equipo cliente cuando se accede al sitio sin SSL proxy de reenvío y con SSL proxy de reenvío.
- Las capturas sin el proxy de reenvío mostrarían el saludo del servidor y el certificado devuelto para validar lo que se devuelve desde el SSL servidor.