TLS HTTP/2 pages Web ne se chargent pas après la mise à niveau de Panos vers la version 9.1.14
4788
Created On 06/12/22 22:22 PM - Last Modified 04/24/24 18:36 PM
Symptom
- Firewall Mise à niveau vers PAN-OS la version 9.1.14
- TLS Les pages Web ne se chargeront pas pour le trafic HTTP / 2 si le trafic est déchiffré
- Aucun problème n’est observé pour TLS le trafic utilisant http/1.1
Environment
- Toutes les plates-formes, y compris VM les pare-feu
- PAN-OS 9.1.14
- Trafic HTTP/2
- SSL Décryptage activé
Cause
Si vous activez les filtres de capture de paquets à l’aide IP du du serveur en question et que vous exécutez des compteurs globaux, vous devriez être en mesure de confirmer si le trafic est http2
Vous devriez également être en mesure de voir le message du compteur d’avertissement « Nombre de messages SSL non pris en charge ext dans le bonjour du serveur » comme indiqué ci-dessous
> show counter global filter packet-filter yes delta yes
ssl_unsupported_server_extension 2 0 warn ssl pktproc Number of unsupported ssl ext in server hello
http2_process 1 0 info http2 pktproc Number of http2 connection process
http2_stream_session_alloc 1 0 info http2 pktproc Number of http2 stream sessions allocatedSi vous firewall présentez les mêmes symptômes, vous êtes susceptible de frapperPAN-194395Resolution
Contournement
- Sélectionnez le profil de décryptage qui est attaché au décryptage à l’aide de GUI: Objets > Décryptage > Profil de décryptage Policy > (Sélectionnez le profil utilisé)
- Dans l’onglet SSL Forward Proxy , sélectionnez Strip ALPN. Avec ce paramètre, le firewall négocie HTTP/1.1 au lieu de HTTP/2
- Si la solution de contournement ci-dessus ne convient pas, rétrogradez la version antérieure à 9.1.14 PAN-OS
Actuellement, la PAN-OS version finale qui résoudra ce problème est toujours en attente.
Additional Information
PAN-189468est répertorié sous Panos 9.1.14 Problèmes connus dans la note de publication suivante :
PAN-OS 9.1.14 Problèmes connus