Der Browser meldet einen ungültigen CA Fehler beim Zugriff auf einige sichere HSTS-Websites, wenn die Entschlüsselung aktiviert ist
Symptom
- Der Webbrowser meldet einen ungültigen CA Fehler beim Zugriff auf einige sichere HSTS-Websites, wenn die Entschlüsselung aktiviert ist.
- Beispiel (aus Chrome):
|
Ihre Verbindung ist nicht privat Angreifer versuchen möglicherweise, Ihre Informationen von gmail.com zu stehlen (z. B. Passwörter, Nachrichten oder Kreditkarten). Weitere Informationen *** verwendet normalerweise Verschlüsselung, um Ihre Daten zu schützen. Als Chrome dieses Mal versuchte, eine Verbindung zu *** herzustellen, hat die Website ungewöhnliche und falsche Anmeldeinformationen zurückgesendet. Dies kann passieren, wenn ein Angreifer versucht, sich als *** auszugeben, oder wenn ein Wi-Fi Anmeldebildschirm die Verbindung unterbrochen hat. Ihre Daten sind dennoch sicher, da Chrome die Verbindung unterbrochen hat, bevor Daten ausgetauscht wurden. |
Environment
- Palo Alto-Firewalls
- Unterstützte PAN-OS
- Entschlüsselung
- HTTP Strict Transport Security (HSTS)-Websites
Cause
- Der sichere Website-Server kann in seiner HTTPS Antwort einen HTTP Strict Transport Security (HSTS)-Header zurückgeben.
- In diesem Fall lässt ein Browser wie Chrome die Fortsetzung der HTTPS Verbindung nicht zu, wenn das Zertifikat nicht von einer vertrauenswürdigen Stamm-CA signiert ist.
Resolution
Importieren Sie das Entschlüsselung in den Zertifikat des Computers.
Additional Information
Notiz:
- Wenn das Zertifikat nicht installiert ist, gibt der Browser im Allgemeinen eine Warnung aus, dass dem Serverzertifikat nicht vertraut wird.
- Der Benutzer kann unter Inkaufnahme des Risikos dennoch fortfahren.
- Wenn die Website jedoch HSTS verwendet, meldet Chrome eine ungültige CA und lässt kein weiteres Fortfahren zu.
- Aus diesem Grund muss das Entschlüsselung in den Zertifizierungsspeicher des Computers importiert werden.