- Get Started
- News & Events
- Collaboration
- Education Services
- Technologies
- Next-Generation Firewall
- GlobalProtect
- Threat Prevention Services
- Endpoint Protection
- SSL Decryption
- App-ID
- Content-ID
- User-ID
- 5G
- IoT Security
- Cloud Identity Engine
Network Security
- Prisma Access
- Prisma Cloud
- Prisma SD-WAN
- CN-Series
- VM-Series:
- Alibaba
- AWS
- GCP
- Azure
Cloud Security
- Cortex XDR
- Cortex XSOAR
- Cortex Data Lake
Security Operations
- Resources
- COVID-19 Response Center
未サポートのCipher Suitesにより、SSL復号化が正常に機能しない
- LIVEcommunity
- Collaboration
- Japan Community
- ナレッジドキュメント
- 未サポートのCipher Suitesにより、SSL復号化が正常に機能しない
- RSS フィードを購読する
- 新着としてマーク
- 既読としてマーク
- 購読
- 友達へメール
- 印刷用ページ
- 不適切なコンテンツを報告
- 新着としてマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 友達へメール
- 不適切なコンテンツを報告
04-03-2016 08:35 PM - 最終編集日: 05-18-2020 12:09 AM 、編集者: togura
※この記事は以下の記事の日本語訳です。
SSL Decryption Not Working due to Unsupported Cipher Suites
問題
インバウンドSSL復号を行うために必要な設定と必要となる全ての証明書をインポートしたにも関わらず、インバウンドSSL復号がウェブ サーバー上で正常に機能しません。
同様にSSL Forward Proxyを使った場合においても、セッションが復号化されずアプリケーションが"ssl"と表示され続けたり、アプリケーション"ssl"として許可されずにコネクションが中断されてしまったりします。
詳細
Palo Alto Networks Deviceでは、以下の5つのcipher suitesをサポートし復号化が可能です。
- RSA-AES256-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
- RSA-AES128-CBC-SHA Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
- RSA-3DES-EDE-CBC-SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
- RSA-RC4-128-MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 (0x0004)
- RSA-RC4-128-SHA Cipher Suite: TLS_RSA_WITH_RC4_128_SHA (0x0005)
以下のCLIコマンドを使用することによって、dropメッセージのタイプを見つけることができます。
> show counter global filter delta yes | match ssl_sess_id_resume_drop
PAN-OS 6.0以降では、show counter globalコマンドでcipher suitesが未サポートかどうか確認できます。
PCAPフィルターを適用し、delta(差分)カウンタを使用:
> show counter global filter packet-filter yes delta yes
or
> show counter global filter delta yes | match "ssl_server_cipher_not_supported"
...
...
ssl_server_cipher_not_supported 2 0 warn ssl pktproc The cipher chosen by server is not supported
解決方法
ウェブ サーバー上で未サポートのcipher suitesを無効にします。
注:PAN-OS 6.0から以下のcipher suitesが追加されTLS 1.2をサポートするようになっています。
PAN-OS 6.0
- TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
- TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
PAN-OS 7.0
- TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
- TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
See Also
Palo Alto Networks Supported SSL/TLS Version and Cipher Suites for Web UI
-
Aperture
1 -
App-ID
18 -
Authentication
15 -
AutoFocus
2 -
Certificate Management
1 -
Certificates
14 -
Cloud
5 -
Configuration
131 -
Decryption
4 -
Endpoint
17 -
Expedition
1 -
GlobalProtect
31 -
Hardware
16 -
High Availability
5 -
Integration
7 -
Japanese Content
1 -
Learning
42 -
Logs
29 -
Management
175 -
Migration
4 -
NAT
10 -
Network
54 -
Objects & Security Profiles
54 -
PAN-OS
1 -
Panorama
6 -
policies
54 -
Reports
4 -
SaaS
1 -
Setup & Administration
56 -
SSL
1 -
SSL Decryption
1 -
Support Guidance
25 -
Threat
39 -
threat prevention
2 -
URL Filtering
15 -
User-ID
28 -
Virtual
3 -
VPN
25 -
Vulnerability
2 -
Vulnerability Protection
1 -
WildFire
18 -
wildfire alerts
1
- « 前へ
- 次へ »
