※この記事は以下の記事の日本語訳です。
SSL Decryption Not Working due to Unsupported Cipher Suites
インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブ サーバー上で正常に機能しません。
同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。
以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。
> show counter global filter delta yes | match ssl_sess_id_resume_drop
PAN-OS 6.0以降では、show counter globalコマンドでcipher suitesが未サポートかどうか確認できます。
PCAPフィルターを適用し、delta(差分)カウンタを使用:
> show counter global filter packet-filter yes delta yes
or
> show counter global filter delta yes | match "ssl_server_cipher_not_supported"
...
...
ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported
ウェブ サーバー上で未サポートのcipher suitesを無効にします。
注:PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。
PAN-OS 6.0
PAN-OS 7.0
Palo Alto Networks Supported SSL/TLS Version and Cipher Suites for Web UI