Las notificaciones de Slack (hooks.slack.com) fallan cuando los registros del sistema informan "Motivo: el certificado ha caducado"

Las notificaciones de Slack (hooks.slack.com) fallan cuando los registros del sistema informan "Motivo: el certificado ha caducado"

2110
Created On 03/27/23 07:32 AM - Last Modified 09/04/25 02:40 AM


Symptom


  • Panorama o firewall configurado para reenviar registros a la aplicación "hooks.slack.com" de Slack a través del perfil HTTP.
Image.png
  • GUI: La configuración de registro de > del dispositivoutiliza el perfil HTTP anterior para enviar registros, por ejemplo, el registro del sistema:
Image.png
  • Los registros del sistema muestran errores: Error en la validación del certificado del servidor HTTP. Host: X.X.X.X, CN: slack.com, Motivo: el certificado ha caducado.

Environment


  • Firewall o Panorama de Palo Alto
  • PANOS 9.1.x y 10.1.x
Nota: El problema no está en PAN-OS 10.2.X y versiones posteriores.

Cause


  • Slack endpoint hooks.slack.com envía una cadena de certificados que incluye un certificado X3 caducado.
  • PANOS 9.1.x y 10.1.x utiliza este certificado caducado como certificado raíz.

Resolution


  1. Actualice el PAN-OS a la versión 10.2.x o superior.
  2. Utilice una solución alternativa basada en el descifrado SSL (aplicable solo en firewalls) como se indica en la sección adicional.

Additional Information


Solución alternativa: Mediante el descifrado SSL, se puede implementar la siguiente solución alternativa, pero solo en un firewall:

  1. Cree un certificado de confianza de reenvío de CA y un certificado de desconfianza de reenvío de CA (suponiendo que el descifrado SSL no esté en uso). Si el descifrado SSL ya está configurado, omita el punto
  2. Configure una ruta de servicio para HTTP con una interfaz en una zona que se especificará con más detalle en una política de descifrado como origen. En el ejemplo, se creó una ruta de servicio para utilizar la interfaz loopback.1:
Configuración de la ruta de servicio:
Image.png
configuración de loopback.1 - configurada en una zona INSIDE
Image.png
  1. Agregue una política de descifrado, escriba SSL Forward Proxy. Especifique tantos ajustes granulares como sea necesario. En una versión más simple, solo las zonas son suficientes.Asegúrese de que no afecte a la configuración existente, idealmente probando primero en un entorno que no sea de producción.
Image.png
  1. Compruebe si la configuración NAT existente y la política de seguridad permiten el tráfico.
  2. Al implementar los pasos anteriores, se modifica una cadena de certificados, ya no se ve ningún certificado X3 problemático en el mensaje de certificado TLS.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHWMCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language