※この記事は以下の記事の日本語訳です。
Limitations and Recommendations While Implementing SSL Decryption
https://live.paloaltonetworks.com/t5/Learning-Articles/Limitations-and-Recommendations-While-Impleme...
詳細
SSL 復号化は以下のシナリオの下では有効に機能しません:
制限事項
- フォワードプロキシ復号化は、相互認証では動作しません
- サーバーが、ハンドシェイク中にユーザー証明書の提示がされることを想定している場合。Palo Alto Networks ファイアウォールはユーザーの秘密鍵と証明書へのアクセス権がありません。
- サポートされていないプロトコルや暗号が使用されているときに、コンテンツを復号化することはできません
- TLS 1.2 は、PAN-OS 6.0 以前では復号化することはできません
- PAN-OS6.0 以前では、TLS1.2 セッションは TLS 1.1 にダウングレードされます
- 以下の暗号スイートは、復号化ではサポートされていません :
AES128-GCM-SHA256
AES256-GCM-SHA256
- Perfect Forward Secrecy または Diffie Hellman key exchange を使用している暗号化スイート
推奨事項
- エンタープライズ CA がある場合は、信頼されているため、それを使用します
- 小さなグループのユーザーまたは単一サブネットに対して SSL 復号化を有効にします
- "ソーシャル ネットワーキング"など、選択されたコンテンツを復号するために、常に URL カテゴリを使用します
- 一部の国では、法律によって特定の接続は復号化できないため、敏感なカテゴリを除外するために URL カテゴリを使用します
以下の文書では、 SSL 復号化から除外されているアプリケーションのリストが含まれています:List of Applications Excluded from SSL Decryption (英文)
参考
SSL Decryption Not Working Due to Unsupported Cipher Suites (英文)
How to Implement and Test SSL Decryption (英文)
著者: dantony