Con el descifrado habilitado, macOS Monterey y versiones posteriores tienen problemas de confianza de certificados con PAN-OS 10.2.2+ o 10.1.7

Con el descifrado habilitado, macOS Monterey y versiones posteriores tienen problemas de confianza de certificados con PAN-OS 10.2.2+ o 10.1.7

10697
Created On 09/30/22 12:39 PM - Last Modified 05/09/23 05:53 AM


Symptom


Para los usuarios de MacOS Monterey y versiones posteriores, puede provocar problemas de confianza de certificados cuando se cumplen todas las condiciones siguientes:
  • Descifrado habilitado en firewall
  • PANOS Versión 10.2.2 y 10.1.7
  • Navegadores Safari y Chrome, pero no Firefox

Environment


  • Cualquier Palo Alto Firewalls
  • PAN-OS 10.2.2+ & 10.1.7
  • Descifrado habilitado.

Cause


  • En 10.1.7 y 10.2.2 se agregó compatibilidad para analizar las extensiones Server Key Identified () y Authority Key Identifier (SKIDAKID).
  • Sin embargo, la mejora también estableció un indicador para copiar la AKID extensión del certificado original al nuevo certificado, lo que provocó que algunos exploradores no validaran el certificado porque el certificado del servidor no coincidía con el AKID SKID del certificado de confianza directa.

Referencia PAN-199099.

 


 

Resolution


Se puede aplicar la siguiente solución para mitigar este problema

  1. Utilice una confianza CA de reenvío que no contenga un identificador de clave de autoridad () ni un identificador de clave de servidor (SKIDAKID). Esto es estándar en PAN firewall los certificados creados.
  2. La corrección está disponible en la recientemente publicada PAN-OS versión 10.2.3 (Refer PAN-199099)
  3. La corrección está dirigida en 10.1.8
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sZJuCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language