次の場合、特定のサイトへのアクセスが証明書エラーで失敗するSSLフォワード プロキシが有効になっている
21897
Created On 05/04/22 09:16 AM - Last Modified 01/31/23 01:46 AM
Symptom
- ユーザーのトラフィックはSSLによる復号化SSLフォワード プロキシ。
- A トラフィックが影響を受ける場合、特定のサイトにアクセスできませんSSL復号化し、ブラウザに次のエラーが表示されます。
- 復号化ログに次のエラー ログが表示されます。
Environment
- Prisma Access Mobile Users
- Prisma Access Remote Networks
- Palo Alto Strata 次世代firewall(NGFW ) PanOS 10.0 以降を実行している
Cause
- これは無効なルートが原因で発生しますCAまたは中間CA問題のサイトから提供された証明書。
- のSSLフォワード プロキシにはSSL「信頼されていない発行者とのセッションをブロックする」がチェックされている関連付けられた復号化プロファイル。
- このオプションは、SSL転送プロキシを使用して、問題が信頼できるかどうかを確認します。
- 発行者が信頼されていない場合CAリストまたは信頼できるCAが指定されていない場合、アクセスはブロックされます。
- なしで別のクライアントからサイトにアクセスした場合SSL検査、サーバーから提供された証明書を確認できます。
- このサイトの場合、ルートはありませんでしたCAサーバーによって提供されます。
Resolution
- これは問題ではありませんPrisma AccessまたはパロアルトNGFW.
- サイト管理者に連絡して、サーバーの問題を修正し、有効なCA証明書。
- とにかくサイトが信頼されている場合は、2 つのオプションが利用可能です。
- カスタムを作成するURLこのサイトのみのカテゴリに分類し、バイパスしますSSLフォワード プロキシ。
- または、カスタムを作成しますURLこのサイトのみのカテゴリと別のカテゴリSSL「信頼されていない発行者とのセッションをブロックする」を持つ復号化プロファイル未チェック.
技術的な理由でサーバーを復号化から除外する
Additional Information
- 詳細については、サイトがアクセスされたときにクライアント マシンでパケット キャプチャを実行します。SSLフォワードプロキシとSSLフォワード プロキシ。
- のないキャプチャSSLフォワード プロキシは、サーバーから返された内容を検証するために、サーバーの hello と返された証明書を表示します。