Lorsque le déchiffrement est activé, macOS Monterey et les versions ultérieures rencontrent des problèmes de confiance de certificat avec PAN-OS 10.2.2+ ou 10.1.7

• Décryptage activé sur firewall
• PANOS Version 10.2.2 et 10.1.7
• Les navigateurs Safari et Chrome, mais pas Firefox

• Tous les pare-feu Palo Alto
• PAN-OS 10.2.2+ & 10.1.7
• Décryptage activé.

• La prise en charge de l’analyse des extensions Server Key Identified () et Authority Key Identifier (SKIDAKID) a été ajoutée dans les versions 10.1.7 et 10.2.2.
• Toutefois, l’amélioration a également défini un indicateur pour copier l’extension du certificat d’origine AKID vers le nouveau certificat, ce qui a empêché certains navigateurs de valider le certificat car le AKID certificat du serveur ne correspondait pas au SKID certificat de confiance de transfert.

La solution de contournement suivante peut être appliquée pour atténuer ce problème

1. Utilisez un Forward Trust CA qui ne contient pas d’identificateur de clé d’autorité () ni d’identificateur de clé de serveur (AKIDSKID). Ceci est standard dans les PAN firewall certificats créés.
2. Le correctif est disponible dans la version PAN-OS 10.2.3 récemment publiée (voir PAN-199099)
3. Le correctif est ciblé dans la version 10.1.8