Zertifikatsfehler mit Grund: nicht vertrauenswürdiger Aussteller, obwohl der Aussteller ein bekanntes öffentliches CA Zertifikat ist.

Zertifikatsfehler mit Grund: nicht vertrauenswürdiger Aussteller, obwohl der Aussteller ein bekanntes öffentliches CA Zertifikat ist.

56649
Created On 10/12/22 05:49 AM - Last Modified 04/02/25 13:52 PM


Symptom


  • Wenn SSL die Entschlüsselung aktiviert ist, wenn Sie versuchen, auf eine Website zuzugreifen, wird die Seite mit dem Grund blockiert: nicht vertrauenswürdiger Aussteller.
In diesem Schnappschuss ist der Aussteller ein bekannter Aussteller: DigiCert SHA2 Extended Validation ServerCA, aber wir sehen immer noch einen Grund: nicht vertrauenswürdiger AusstellerCA.
 
Cert1.png
  • Das Entschlüsselungsprofil ist so konfiguriert, dass Sitzungen mit nicht vertrauenswürdigen Ausstellern blockiert werden.
Zertifikat2.PNG
  • Die Website hat ein unvollständiges Kettenproblem. Dies kann von SSLlabs überprüft werden
  • Bei der Paketerfassung sendet die Website nur ein Serverzertifikat (ohne Zwischen-/Root-Zertifikat).
  • Ohne firewall Zwischen- oder Entschlüsselung deaktiviert wird die Site ohne Probleme geladen.
 

Environment


  • Palo Alto Firewalls
  • Unterstützt PAN-OS
  • Entschlüsselung aktiviert.

Cause


  • Die Website sendet keine vollständige Zertifikatskette. Es ist so konfiguriert, dass nur ein Serverzertifikat ohne ordnungsgemäßes Ketten-/Zwischenzertifikat verwendet wird.
  • Das Problem tritt im Browser nicht auf, da er über genügend Rechenleistung verfügt, um einen Zwischenspeicher CA abzurufen, wenn eine Website nicht die vollständige Kette bereitstellt.
 

Resolution


Das Problem kann durch eine der folgenden Lösungen behoben werden:
  1. Beheben Sie das Problem mit der Zertifikatskette auf der Website (wenden Sie sich bei Bedarf an den Website-Besitzer).
  2. Importieren Sie das Zwischenzertifikat manuell unter Setup--> Zertifikatsverwaltung-->Zertifikat-->Gerätezertifikate und markieren Sie es als "vertrauenswürdiger Stamm CA".
Zertifikat3.PNG
  1. Deaktivieren Sie im Entschlüsselungsprofil die Option "Sitzungen mit nicht vertrauenswürdigen Ausstellern blockieren".

Additional Information


  1. Warum ist das bekannte öffentliche CA Zertifikat nicht in Setup--> Zertifikatsverwaltung-->Zertifikat-->Standard-vertrauenswürdige Zertifizierungsstellen vorhanden? 
PanOS-Firewalls unterhalten kein Repository für Zwischenzertifikate. Es unterhält nur ein Repository von öffentlichen Root-CAs unter "Default Trusted Certificate Authorities", da es sehr schwierig ist, Zwischenzertifizierungen CAglobal zu verfolgen / zu überwachen.
  1. Warum kann das Zwischenzertifikat nicht PA-FW wie ein Browser abgerufen werden?
PanOS-Firewalls können das Zwischenzertifikat nicht abrufen, da es rechnerisch schwierig ist, dies zu tun, während eine Clientverbindung für SSL die Entschlüsselung gepuffert wird.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEUSCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language