SSL 復号化を実装する際の制限事項と推奨事項

※この記事は以下の記事の日本語訳です。
Limitations and Recommendations While Implementing SSL Decryption
https://live.paloaltonetworks.com/t5/Learning-Articles/Limitations-and-Recommendations-While-Impleme...

詳細

SSL 復号化は以下のシナリオの下では有効に機能しません:

制限事項

1. フォワードプロキシ復号化は、相互認証では動作しません
   
   1. サーバーが、ハンドシェイク中にユーザー証明書の提示がされることを想定している場合。Palo Alto Networks ファイアウォールはユーザーの秘密鍵と証明書へのアクセス権がありません。
2. サポートされていないプロトコルや暗号が使用されているときに、コンテンツを復号化することはできません
   
   1. TLS 1.2 は、PAN-OS 6.0 以前では復号化することはできません
   2. PAN-OS6.0 以前では、TLS1.2 セッションは TLS 1.1 にダウングレードされます
   3. 以下の暗号スイートは、復号化ではサポートされていません :
      AES128-GCM-SHA256
      AES256-GCM-SHA256
   4. Perfect Forward Secrecy または Diffie Hellman key exchange を使用している暗号化スイート

推奨事項

1. エンタープライズ CA がある場合は、信頼されているため、それを使用します
2. 小さなグループのユーザーまたは単一サブネットに対して SSL 復号化を有効にします
3. "ソーシャル ネットワーキング"など、選択されたコンテンツを復号するために、常に URL カテゴリを使用します
4. 一部の国では、法律によって特定の接続は復号化できないため、敏感なカテゴリを除外するために URL カテゴリを使用します

以下の文書では、 SSL 復号化から除外されているアプリケーションのリストが含まれています:List of Applications Excluded from SSL Decryption   (英文)

参考

SSL Decryption Not Working Due to Unsupported Cipher Suites  (英文)

How to Implement and Test SSL Decryption  (英文)

著者: dantony