SSL復号化失敗の原因について確認する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Identify Root Cause for SSL Decryption Failure Issues
https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Identify-Root-Cause-for-SSL-Decrypti...

 

概要

この文章では、サポートされていない暗号スイートによって、復号化されず失敗する場合において、原因を特定する方法について述べています。

 

Palo Alto Networks ファイアウォールによって、サポートする暗号スイートは以下です:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

 

問題

この例では、サーバーがDiffie-Hellman (DH)とElliptec Curve Ephemeral Diffie-Hellman (ECDHE)しかサポートせず、SSLプロキシが復号化に失敗しています。
以下のステップによって問題を確認します。

 

  1. Palo Alto Networks ファイアウォールにてパケットキャプチャーを取得します(How to Run a Packet Captureを参照)。クライアントから送付されたClient Helloパケットとサーバーから応答されたパケットを調査します。 下記に示すような"Handshake Failure"を探します。
    step-1.PNG
  2. クライアントでサポートされている暗号スイートを参照するか、パロアルトネットワークス装置のClient Helloパケットを確認します。
    step-2.PNG
  3. SSLスキャンツール https://www.ssllabs.com/ssltest/index.html を使って、サーバーによってサポートされる暗号スイートを調べます。下記出力例を参照:
    Step-3.PNG

上記の出力結果によって、サポートされていない暗号スイートによって発生していたことが確認できます。

 

解決方法

No Decryptポリシーを作成します

  1. 該当サイトのCustom URL Categoryを作成します
    1. Objects > URL Categoryに移動します
    2. Addボタンをクリックします
    3. Custom URL Categoryの名前を設定します
    4. Addボタンを追加し、サーバーサイトを追加して、Commitを実行します
      WA1.PNG
  2. 追加したURLサイト用のNo Decryptアクションの復号化ルールを作成します
    1. Policies > Decryptionに移動します
    2. Decryption Ruleを選択します
    3. Decryption Ruleをクローニングします
    4. クローンしたDecryption Policyを復号化するDecryption Policyの上に移動します
    5. クローンしたDecryption Policy > URL Categoryを選択します
    6. Addボタンをクリックします
    7. 設定したURL siteを追加し、コミットします
      WA2.PNG

 

著者: ssastera