Error de certificado con motivo: emisor que no es de confianza aunque el emisor sea un certificado público CA conocido.

Error de certificado con motivo: emisor que no es de confianza aunque el emisor sea un certificado público CA conocido.

56649
Created On 10/12/22 05:49 AM - Last Modified 04/02/25 13:52 PM


Symptom


  • Con SSL el descifrado habilitado, al intentar acceder a un sitio web, se bloquea la página con el motivo: emisor no confiable.
En esta instantánea, el emisor es un público CAconocido: DigiCert SHA2 Extended Validation Server CA pero aún vemos la razón: emisor no confiable.
 
Cert1.png
  • El perfil de descifrado está configurado para bloquear sesiones con emisores que no son de confianza
Cert2.PNG
  • El sitio web tiene un problema de cadena incompleta. Esto se puede comprobar desde SSLlabs
  • En la captura de paquetes, el sitio web envía solo un certificado de servidor (sin certificado intermedio / raíz).
  • Sin firewall intermedio o descifrado deshabilitado, el sitio se carga sin problemas.
 

Environment


  • Palo Alto Firewalls
  • Apoyado PAN-OS
  • Descifrado habilitado.

Cause


  • El sitio web no está enviando una cadena completa de certificado; Está configurado para usar el certificado de servidor solo sin el certificado intermedio/cadena adecuado.
  • El problema no ocurre en el navegador porque tienen suficiente cómputo para obtener un intermedio CA si un sitio web no proporciona la cadena completa.
 

Resolution


El problema se puede resolver mediante cualquiera de las siguientes soluciones:
  1. Solucionar el problema de la cadena de certificados en el sitio web (póngase en contacto con el propietario del sitio web si es necesario)
  2. Importe manualmente el certificado intermedio en Configuración--> Administración de certificados-->Certificado-->Certificados de dispositivo y márquelo como "raíz de confianza CA"
Cert3.PNG
  1. Desmarque "Bloquear sesiones con emisores que no son de confianza" en el perfil de descifrado.

Additional Information


  1. ¿Por qué el certificado público CA conocido no está presente en Configuración-->Administración de certificados--> Certificado-->Entidades emisoras de certificados de confianza predeterminadas? 
Los firewalls de PanOS no mantienen un repositorio de certificados intermedios. Solo mantiene un repositorio de CA raíz públicas bajo "Autoridades de certificación de confianza predeterminadas" porque es muy difícil rastrear / monitorear intermediarios CAa nivel mundial.
  1. ¿Por qué no PA-FW se puede obtener el certificado intermedio como lo hace un navegador?
Los firewalls de PanOS no pueden obtener el certificado intermedio porque es computacionalmente difícil hacerlo mientras se almacena en búfer una conexión de cliente para SSL el descifrado.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kEUSCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language