Lorsque le déchiffrement est activé, macOS Monterey et les versions ultérieures rencontrent des problèmes de confiance de certificat avec PAN-OS 10.2.2+ ou 10.1.7
10717
Created On 09/30/22 12:39 PM - Last Modified 05/09/23 05:53 AM
Symptom
Pour les utilisateurs de MacOS Monterey et versions ultérieures, cela peut entraîner des problèmes de confiance de certificat lorsque toutes les conditions suivantes sont remplies :
- Décryptage activé sur firewall
- PANOS Version 10.2.2 et 10.1.7
- Les navigateurs Safari et Chrome, mais pas Firefox
Environment
- Tous les pare-feu Palo Alto
- PAN-OS 10.2.2+ & 10.1.7
- Décryptage activé.
Cause
- La prise en charge de l’analyse des extensions Server Key Identified () et Authority Key Identifier (SKIDAKID) a été ajoutée dans les versions 10.1.7 et 10.2.2.
- Toutefois, l’amélioration a également défini un indicateur pour copier l’extension du certificat d’origine AKID vers le nouveau certificat, ce qui a empêché certains navigateurs de valider le certificat car le AKID certificat du serveur ne correspondait pas au SKID certificat de confiance de transfert.
Référence PAN-199099.
Resolution
La solution de contournement suivante peut être appliquée pour atténuer ce problème
- Utilisez un Forward Trust CA qui ne contient pas d’identificateur de clé d’autorité () ni d’identificateur de clé de serveur (AKIDSKID). Ceci est standard dans les PAN firewall certificats créés.
- Le correctif est disponible dans la version PAN-OS 10.2.3 récemment publiée (voir PAN-199099)
- Le correctif est ciblé dans la version 10.1.8