نظرة عامة
عندما يفشل اتصال TLS، قد تلاحظ كاتو تحذيرات بروتوكول TLS، أخطاء التحقق من صحة شهادة X.509، وأخطاء معالجة SSL الداخلية. يركز هذا الدليل على الحقول المرئية في أحداث تطبيق إدارة كاتو (CMA) ويشرح كيفية تفسيرها دون افتراض أن الخطأ في TLS ناتج عن شهادة كاتو أو فحص TLS.
مهم: أخطاء التحقق من صحة شهادة X.509 الموضحة في CMA تتعلق بالتحقق من صحة شهادة خادم الوجهة. لا تشير إلى مشكلة بشهادة كاتو. يمكن توليد تحذيرات بروتوكول TLS في حقل وصف خطأ TLS بواسطة الجانب العميل أو الجانب الخادم.
هذه القيم الخطأ تعتبر معيار الصناعة. تستمد هذه القيم من بروتوكول TLS الذي تستخدمه كاتو للتحقق من صحة الأحداث المتعلقة بـ TLS. نتيجة لذلك، تعكس أسماء الأخطاء والأوصاف السلوك القياسي لـ OpenSSL وليس دائماً تطابق المشكلة المرصودة في البيئة ويمكن أن تتغير في أي وقت.
ما هي حقول TLS التي تُظهر في CMA؟
| حقل CMA | ما يمثله | كيفية استخدامه |
| وصف خطأ TLS | تحذير بروتوكول TLS مرصود أثناء تبادل TLS، مثل ca غير معروف، شهادة غير معروفة، فشل المصافحة، أو سجل mac سيء. | استخدم هذا كحقل رئيسي لفهم السبب على مستوى البروتوكول لفشل الجلسة TLS. قد ينشأ التحذير من أي جانب. |
| خطأ شهادة TLS | مشكلة في التحقق من صحة شهادة X.509 تم اكتشافها أثناء تحقق من شهادة خادم الوجهة، مثل انتهاء صلاحية الشهادة، عدم تطابق اسم المضيف، أو شهادة موقعة ذاتيا في سلسلة الشهادات. | استخدم هذا لتحديد المشاكل مع شهادة خادم الوجهة أو سلسلة الشهادات. عادةً ما تكون هذه الأخطاء خارج نقطة نهاية العميل وتكوين شهادة كاتو. |
| نوع خطأ TLS | يشير إلى شدة تحذير TLS الذي يبلغه البروتوكول، مثل التحذير أو القاتل. | استخدم هذا فقط كمرجع سياقي. تحذيرات قاتلة تنهي الجلسة؛ تحذيرات تحذيرية قد تنهيها أو قد لا تنهيها اعتماداً على سلوك نقطة النهاية. |
كيفية تفسير تحذيرات الجانب العميل والجانب الخادم
يصف تحذير TLS ما أبلغت به إحدى نقاط النهاية أثناء المصافحة أو تبادل السجل. جانب التحذير مهم:
- تحذير جانب العميل: رفض العميل شيء استلمه أو قرر أنه لا يمكن استمرارية المصافحة. في سيناريوهات تفتيش TLS، قد يتضمن ذلك رفض العميل الشهادة المقدمة أثناء التفتيش، رفض معلمات الشهادة، أو فشل بسبب عدم تطابق البروتوكول أو التشفير.
- تحذير جانب الخادم: رفض خادم الوجهة المصافحة أو أبلغ عن مشكلة في سلوك جانب العميل، معلمات البروتوكول، تفاوض التشفير، أو معالجة السجلات.
- تعرض CMA وصف التحذير، لكن الجانب التحذيري غير معروض. قد تتطلب المساعدة في الدعم والتشخيص التحقق من أي نقطة نهاية أرسلت التحذير.
النهج الموصى به لحل المشاكل
- ابدأ بحقل وصف خطأ TLS للتحذيرات البروتوكولية وحقل خطأ شهادة TLS لمشاكل تحقق شهادة خادم الوجهة.
- لا تفترض أن التحذير المتعلق بالشهادة في TLS يعني دائماً أن جذر CA الخاص بكاتو مفقود. قم أولاً بتحديد ما إذا كان التحذير تحذير بروتوكول TLS أو خطأ تحقق X.509.
- قم بمقارنة السلوك مع تعطيل تفتيش TLS أو تجاوز الوجهة فقط عندما يكون مناسباً للتطبيق وسياسة الأمان.
- لحل المشاكل المستمرة، تحقق من سلسلة شهادات الوجهة، اسم المضيف/SAN، إصدارات TLS المدعومة، ومجموعات التشفير. يمكن أن تساعد اللقطات المحزومة في تأكيد أي جانب أرسل التحذير.
للتحري المتقدم يرجى الرجوع إلى تحري مشاكل تفتيش TLS
الأخطاء الشائعة والمعاني
تصف الجداول التالية معظم أخطاء TLS شائعة (كما هو معروض في "وصف خطأ TLS" في سجل الحادث)، جنباً إلى جنب مع أسبابها النموذجية وخطوات العلاج العامة.
تحذيرات الشهادة والثقة المتعلقة بـ TLS
| وصف خطأ TLS | جانب التحذير النموذجي | معنى | الأسباب الشائعة والعلاج |
| ca غير معروف | جانب العميل | لا يثق الطرف الشهادة بالكامل. | قد لا يثق العميل بـ CA الذي أصدر الشهادة المقدمة. في سيناريوهات تفتيش TLS، تحقق من تثبيت جذر CA الخاص بكاتو والتأكد من الثقة به على نقطة النهاية. أيضاً تحقق من الوسطاء المفقودين أو متطلبات الثقة الخاصة بـ CA الخاصة. |
| شهادة غير معروفة | جانب العميل | تم رفض الشهادة لسبب عام أو غير محدد. | غالباً ما يكون هذا رفضاً عامًا من العميل. تحقق من صلاحية ومعايير الاستخدام وبلاغة السلسلة ومتجر الثقة للعميل والسلوك المحدد للتطبيق في التحقق من الشهادة. قارن مع تعطيل تفتيش TLS إذا لزم الأمر. |
| شهادة سيئة | جانب العميل | فشلت الشهادة في اختبارات التحقق. | تتضمن الأسباب المحتملة الاستخدام الخاطئ للمفاتيح، مشاكل في السلسلة، عدم تطابق اسم المضيف، تثبيت الشهادة، أو رفض التطبيق للشهادة المفحصه. إصلاح مشاكل الثقة/السلسلة في الشهادة أو تجاوز تفتيش TLS للتطبيقات التي لا يمكن فحصها. |
| شهادة غير مدعومة | جانب العميل، غير شائع | تستخدم الشهادة معايير أو خوارزميات غير مدعومة. | استبدال مفاتيح أو خوارزميات ضعيفة أو متقادمة بمعايير حديثة مدعومة. |
أخطاء التحقق من الشهادة X.509 لخادم الوجهة
| خطأ شهادة TLS | مصدر نموذجي | معنى | الأسباب الشائعة والعلاج |
| انتهت صلاحية الشهادة | شهادة خادم | شهادة خادم الوجهة تجاوزت فترة صلاحيتها. | يجب على مالك الموقع أو الخدمة تجديد الشهادة وضمان دوران الشهادة بشكل صحيح. |
| غير قادر على الحصول على شهادة المُصدر المحلي | سلسلة شهادات الخادم | المُصدر أو شهادة الوسيطة اللازمة للتحقق من شهادة الخادم مفقودة أو غير موثوق بها. | يجب على خادم الوجهة تقديم سلسلة الشهادة بالكامل. يُحَل هذا عادةً بواسطة مالك خدمة الوجهة. |
| عدم تطابق عنوان IP | هوية شهادة الخادم | الشهادة لا تتطابق مع عنوان IP المستخدم للاتصال. | الوصول إلى الخدمة بواسطة FQDN أو تحديث SAN شهادة الخادم لتضمين عنوان IP عند الاقتضاء. |
| عدم تطابق اسم المضيف | هوية شهادة الخادم | لا تتطابق الشهادة مع اسم المضيف المطلوب. | تصحيح SAN/CN شهادة الخادم أو ضمان وصول المستخدمين إلى الخدمة باستخدام اسم المضيف المغطى بالشهادة. |
| شهادة موقعة ذاتياً | ثقة شهادة الخادم | تقدم الوجهة شهادة موقعة ذاتياً غير موثوق بها تلقائياً. | استخدام شهادة CA موثوقة من عامة الجمهور أو المؤسسة أو تصديق الشهادة صراحة حيث يناسب. |
| شهادة موقعة ذاتياً في سلسلة الشهادات | سلسلة شهادة الخادم | تظهر شهادة موقعة ذاتيًا في سلسلة شهادة الخادم. | استبدال السلسلة بسلسلة CA موثوقة أو ضمان موثوقية CA ذات الصلة من قبل الطرف الذي يتحقق. |
تحذيرات البروتوكول والإصدار والتشفير
| وصف خطأ TLS | جانب التحذير النموذجي | معنى | الأسباب الشائعة والعلاج |
| إصدار البروتوكول | جانب العميل | لم تتمكن الأطراف النهائية من الاتفاق على إصدار TLS مدعوم. | تحديث العملاء أو الخوادم القديمة وضمان التداخل في الإصدارات المدعومة، يفضل TLS 1.2 أو TLS 1.3. |
| فشل المصافحة | جانب العميل | لا يمكن إكمال المصافحة غالباً بسبب عدم توفر معلمات مقبولة بشكل مشترك. | التحقق من إصدارات TLS المدعومة، مجموعات التشفير، الملحقات، سلوك SNI، ومتطلبات الشهادة. توحيد إعدادات TLS للعميل والخادم. |
| معلمة غير قانونية | معظمها على الجانب العميل؛ يمكن أن تكون أيضًا على الخادم | رفض أحد نقاط النهاية معلمات تبادل الشهادات TLS باعتبارها غير صالحة أو غير متوقعة. | تحقق من وجود امتدادات TLS غير متوافقة، مجموعات وتواقيع غير مدعومة، أو تطبيقات الخادم/ العميل غير القياسية. استخدم القبض على الحزم للحالات المستمرة. |
| أمان غير كافي | على الخادم، نادرًا | اعتبرت إحدى نقاط النهاية أن المعلمات المتفاوض عليها ضعيفة جداً. | عطل البروتوكولات القديمة والتشفيرات الضعيفة. قم بإعداد مجموعات التشفير الحديثة والسياسات الأمنية على نقطة النهاية المتأثرة. |
تحذيرات TLS للطبقة السجل والتنبيه المتنوع
| وصف خطأ TLS | جانب التحذير المعتاد | المعنى | الأسباب الشائعة والإصلاح |
| تسجيل سيء لل MAC | على الجانب العميل | فشل التحقق من سلامة سجل TLS. | قد يكون ناتجًا عن حركة مرور تالفة، فقدان الحزم، تدخل جهاز الموجه، أو فحص متداخل/ جهاز وكيل. اختبر اتساق المسار وقارن دون أجهزة اعتراض أخرى. |
| خطأ فك التشفير | على الخادم، نادرًا | لم يتمكن من فك تشفير أو التحقق من سجل TLS أو قيمة تبادل الشهادات. | تحقق من عدم توافق البروتوكول، تدخل جهاز الموجه، أو مشاكل التطبيق. بسط مسار المرور وتحقق مع القبض على الحزم. |
| رسالة غير متوقعة | على الجانب العميل | تم استقبال رسالة TLS خارج الترتيب. | عادةً ما يشير إلى عدم تناسق البروتوكول، تطبيقات غير متوافقة، أو سلوك غير مستقر لنقطة النهاية. قم بترقية العملاء والخوادم المتأثرة وتحقق مع القبض على الحزم إذا كان ذلك مستمرًا. |
| خطأ داخلي | على الجانب العميل | حدث فشل عام داخل كومة TLS. | قد يكون مؤقتًا أو خاصًا بالتطبيق. إذا كان قابلاً للتكرار، اجمع تفاصيل الحدث، سجلات النقاط النهائية، والقبض على الحزم للتحليل الداعم. |
| غير معروف | على الخادم | تمت ملاحظة تحذير TLS عام أو غير محدد خارطة. | عامل كدليل مؤشر على فشل واسع. ارتبط مع سلوك الوجهة، القبض على الحزم، وسجلات الخادم المتاحة. |
| خطأ فك التشفير | على الخادم | لم يمكن فك تشفير رسالة TLS بشكل صحيح. | غالبًا ما يتسبب في رسائل TLS مشوهة، عدم توافق البروتوكول، أو العيوب التطبيقية. تحقق باستخدام القبض على الحزم وقم بتحديث مكتبات TLS أو التطبيقات المتأثرة. |
النقاط الرئيسية
- استخدم وصف خطأ TLS كميدان CMA الرئيسي لتحذيرات بروتوكول TLS.
- استخدم خطأ شهادة TLS لمشاكل تحقق شهادة الخادم الوجهة.
- الأخطاء X.509 المعروضة في CMA تتعلق بشهادة خادم الوجهة وليس شهادة Cato.
- يمكن أن يتعلق تنبيه شهادة على جانب العميل بثقة نقطة النهاية، تثبيت الشهادة، أو نشر ثقة تفتيش TLS; عادةً ما يشير التحذير جانب الخادم إلى سلوك خادم الوجهة أو تفاوض البروتوكول.
- أكد على جانب الإنذار باستخدام التشخيصات الدعم عندما لا يكون الحدث CMA كافيًا.
للمزيد من الإرشادات، للمزيد من المعلومات، يرجى الرجوع إلى أفضل الممارسات لتفتيش TLS
لا توجد تعليقات
المقال مغلق أمام التعليقات.