启用解密后,浏览器访问某些安全的 HSTS 网站时会报告无效CA错误

启用解密后,浏览器访问某些安全的 HSTS 网站时会报告无效CA错误

9812
Created On 03/09/23 01:23 AM - Last Modified 01/03/25 08:09 AM


Symptom


  • 当启用解密时,Web 浏览器访问某些安全的 HSTS 网站时会报告无效的CA错误。
  • 示例(来自 Chrome):

您的连接不是私密的

攻击者可能试图从 gmail.com 窃取您的信息(例如密码、消息或信用卡)。了解详情
NET::ERR_CERT_AUTHORITY_INVALID

*** 通常使用加密技术来保护您的信息。Chrome 这次尝试连接到 *** 时,该网站返回了异常且不正确的凭据。当攻击者试图冒充 *** 或Wi-Fi登录屏幕中断连接时,可能会发生这种情况。您的信息仍然是安全的,因为 Chrome 在交换任何数据之前就停止了连接。

您目前无法访问 ***,因为该网站使用了 HSTS。网络错误和攻击通常是暂时的,因此此页面稍后可能会恢复正常。

Environment


  • Palo Alto 防火墙
  • 支持的 PAN OS
  • 解密
  • HTTP严格传输安全 (HSTS) 网站

Cause


  • 安全网站服务器可以在其HTTPS响应中返回HTTP严格传输安全 (HSTS) 标头。
  • 当发生这种情况时,如果服务器证书不是由受信任的根 CA签名的,Chrome 等浏览器将不允许HTTPS连接继续。

Resolution


将解密证书导入计算机证书存储区。

Additional Information


笔记:

  • 一般来说,如果没有安装证书,浏览器会给出服务器证书不受信任的警告。
  • 用户仍然可以继续接受风险。
  • 但是如果网站使用 HSTS,Chrome 将报告无效的CA并且不允许继续进行。
  • 因此,必须将解密证书导入计算机认证存储区。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHGiCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language