Visión general
Cuando una conexión TLS falla, Cato puede observar alertas del protocolo TLS, errores de validación del certificado X.509 y errores de procesamiento interno de SSL. Esta guía se centra en los campos visibles en los eventos de la Aplicación de Gestión de Cato (CMA) y explica cómo interpretarlos sin asumir que el error de TLS es causado por el certificado de Cato o la Inspección TLS.
Importante: Los errores de validación del certificado X.509 que se muestran en CMA se relacionan con la validación del certificado del servidor de destino. No indican un problema con el certificado de Cato. Las alertas del protocolo TLS en el campo de Descripción del Error TLS pueden ser generadas tanto por el lado del cliente como por el lado del servidor.
Estos valores de error son estándar en la industria. Se derivan del Protocolo TLS, que Cato utiliza para la validación de eventos relacionados con TLS. Como resultado, los nombres y descripciones de errores reflejan el comportamiento estándar de OpenSSL y pueden no siempre coincidir exactamente con el problema observado en el entorno y podrían cambiar en cualquier momento.
¿Qué campos de TLS son visibles en CMA?
| Campo CMA | Lo que representa | Cómo usarlo |
| Descripción del Error TLS | Una alerta de protocolo TLS observada durante el intercambio de TLS, como ca desconocido, certificado desconocido, fallo de apretón de manos, o mac de registro incorrecto. | Use esto como el campo principal para comprender la razón a nivel de protocolo de por qué la sesión TLS falló. La alerta puede originarse de cualquier extremo. |
| Error de Certificado TLS | Un problema de validación de certificado X.509 detectado al validar el certificado del servidor de destino, como certificado expirado, falta de coincidencia de nombre de host o certificado auto-firmado en la cadena de certificados. | Utilice esto para identificar problemas con el certificado del servidor de destino o la cadena de certificados. Estos errores suelen estar fuera de la configuración del endpoint del cliente y del certificado de Cato. |
| Tipo de Error TLS | Indica la gravedad de la alerta TLS reportada por el protocolo, como advertencia o fatal. | Use esto solo como contexto. Las alertas fatales terminan la sesión; las alertas de advertencia pueden o no terminarla dependiendo del comportamiento del endpoint. |
Cómo interpretar alertas del lado del cliente y del lado del servidor
Una alerta TLS describe lo que un extremo reportó durante el apretón de manos o el intercambio de registros. El lado de la alerta importa:
- Alerta del lado del cliente: el cliente rechazó algo que recibió o decidió que el apretón de manos no podía continuar. En escenarios de Inspección TLS, esto puede incluir el rechazo por parte del cliente del certificado presentado durante la inspección, rechazando los parámetros del certificado, o fallando debido a una incompatibilidad de protocolo o cifrado.
- Alerta del lado del servidor: el servidor de destino rechazó el apretón de manos o reportó un problema con el comportamiento del lado del cliente, los parámetros del protocolo, la negociación del cifrado, o el procesamiento de registros.
- CMA muestra la descripción de la alerta, pero el lado de la alerta no se muestra. Puede ser necesario asistencia de soporte con diagnósticos para confirmar qué extremo envió la alerta.
Enfoque recomendado de solución de problemas
- Comience con el campo de Descripción del Error TLS para alertas de protocolo y el campo de Error de Certificado TLS para problemas de validación de certificados de servidor de destino.
- No asuma que una alerta TLS relacionada con certificados siempre significa que falta el Cato Root CA. Primero determine si la alerta es una alerta de protocolo TLS o un error de validación X.509.
- Compare el comportamiento con la Inspección TLS deshabilitada o omitida cuando sea apropiado para la aplicación y la política de seguridad.
- Para problemas persistentes, valide la cadena de certificados de destino, hostname/SAN, las versiones de TLS compatibles y los conjuntos de cifrado. Las capturas de paquetes pueden ayudar a confirmar qué lado envió la alerta.
Para la solución de problemas avanzada, consulte Solución de Problemas de Inspección TLS
Errores Comunes y Significados
Las siguientes tablas describen la mayoría de los Errores TLS (como se muestra en el campo "Descripción del Error TLS" en el registro de eventos), junto con sus causas típicas y pasos generales de remedio.
Alertas TLS relacionadas con certificados y confianza
| Descripción del Error TLS | Lado típico de la alerta | Significado | Causas Comunes y Remedios |
| ca desconocido | Lado del cliente | El emisor del certificado no es confiable por el par. | El cliente puede no confiar en el CA que emitió el certificado presentado. En escenarios de Inspección TLS, confirme que el Cato Root CA está instalado y confiable en el endpoint. También verifique los intermediarios faltantes o los requisitos de confianza de CA privada. |
| certificado desconocido | Lado del cliente | El certificado fue rechazado por una razón genérica o no especificada. | Esto suele ser un rechazo amplio del cliente. Compruebe la validez del certificado, el uso de claves, la compleción de la cadena, el almacén de confianza del endpoint, y el comportamiento de validación de certificados específico de la aplicación. Compare con la Inspección TLS deshabilitada si es necesario. |
| certificado incorrecto | Lado del cliente | El certificado falló en las verificaciones de validación. | Las posibles causas incluyen el uso incorrecto de la clave, problemas de cadena, falta de coincidencia del nombre de host, anclaje de certificado o una aplicación que rechaza el certificado inspeccionado. Corrija los problemas de confianza/cadena de certificados o omita la Inspección TLS para aplicaciones que no pueden ser inspeccionadas. |
| certificado no compatible | Lado del cliente, poco común | El certificado usa parámetros o algoritmos no compatibles. | Reemplace algoritmos y claves débiles o obsoletas con estándares modernos compatibles. |
Errores de validación de certificados del servidor de destino X.509
| Error de Certificado TLS | Fuente típica | Significado | Causas Comunes y Remedios |
| certificado ha expirado | Certificado del servidor | El certificado del servidor de destino está fuera de su período de validez. | El propietario del sitio web o servicio debe renovar el certificado y asegurar una rotación adecuada del certificado. |
| no se puede obtener certificado del emisor local | Cadena de certificado del servidor | El emisor o el certificado intermedio necesario para validar el certificado del servidor está faltante o no es confiable. | El servidor de destino debe presentar la cadena completa de certificados. Esto típicamente es resuelto por el propietario del servicio de destino. |
| incompatibilidad de dirección IP | Identidad del certificado del servidor | El certificado no coincide con la dirección IP utilizada para la conexión. | Acceda al servicio por su FQDN o actualice el SAN del certificado del servidor para incluir la dirección IP cuando sea apropiado. |
| falta de coincidencia del nombre de host | Identidad del certificado del servidor | El certificado no coincide con el nombre de host solicitado. | Corrija el SAN/CN del certificado del servidor o asegúrese de que los usuarios accedan al servicio utilizando el nombre de host cubierto por el certificado. |
| certificado auto-firmado | Confianza del certificado del servidor | El destino presenta un certificado auto-firmado que no es confiable por defecto. | Utilice un certificado CA públicamente confiable o confiable a nivel empresarial, o confíe explícitamente en el certificado donde sea apropiado. |
| certificado auto-firmado en la cadena de certificados | Cadena de certificado del servidor | Aparece un certificado auto-firmado en la cadena de certificado del servidor. | Reemplace la cadena con una cadena CA correctamente confiable o asegúrese de que la CA relevante sea confiable por la parte que valida. |
Alertas de protocolo, versión y cifrado
| Descripción del Error TLS | Lado típico de la alerta | Significado | Causas Comunes y Remedios |
| versión de protocolo | Lado del cliente | Los puntos de conexión no pudieron acordar una versión de TLS compatible. | Actualice clientes o servidores antiguos y asegúrese de superponer las versiones compatibles, preferiblemente TLS 1.2 o TLS 1.3. |
| fallo de apretón de manos | Lado del cliente | No se pudo completar el apretón de manos, a menudo porque no había parámetros mutuamente aceptables disponibles. | Compruebe las versiones de TLS compatibles, los conjuntos de cifrado, las extensiones, el comportamiento SNI, y los requisitos de certificado. Alinee las configuraciones de TLS del cliente y del servidor. |
| parámetro ilegal | Principalmente en el lado del cliente; también puede ser en el lado del servidor | Un punto de conexión rechazó los parámetros de handshake TLS como inválidos o inesperados. | Verifique las extensiones TLS incompatibles, grupos/algoritmos de firma no soportados, o implementaciones cliente/servidor no estándar. Use captura de paquetes para casos persistentes. |
| seguridad insuficiente | Del lado del servidor, poco común | Un punto de conexión consideró los parámetros negociados demasiado débiles. | Deshabilitar protocolos obsoletos y cifrados débiles. Configurar suites de cifrado modernos y políticas de seguridad en el punto de conexión afectado. |
Capas de registro y alertas TLS varias.
| Descripcion de Error TLS | Alerta típica del lado | Significado | Causas comunes y remediación |
| Mala grabación mac | Del lado del cliente | Falló una verificación de integridad de registro TLS. | Puede ser causado por tráfico corrupto, pérdida de paquetes, interferencia de middlebox, o dispositivos de inspección/proxy superpuestos. Pruebe la consistencia del camino y compare sin otros dispositivos de intercepción. |
| error de descifrado | Del lado del servidor, poco común | No se pudo descifrar o verificar un registro o valor de handshake TLS. | Verifique la incompatibilidad de protocolo, interferencia de middlebox, o problemas de implementación. Simplifique la ruta de tráfico y valide con captura de paquetes. |
| mensaje inesperado | Del lado del cliente | Se recibió un mensaje TLS fuera de secuencia. | Generalmente indica inconsistencia de protocolo, implementaciones incompatibles, o comportamiento erróneo del punto de conexión. Actualice clientes/servidores afectados y valide con captura de paquetes si es persistente. |
| error interno | Del lado del cliente | Ocurrió un fallo genérico dentro de una pila TLS. | Puede ser transitorio o específico de la implementación. Si es reproducible, recopile detalles de eventos, registros de endpoints y capturas de paquetes para análisis de soporte. |
| desconocido | Del lado del servidor | Se observó una alerta TLS genérica o no mapeada. | Tratar como un indicador de falla amplia. Correlacionar con comportamiento de destino, capturas de paquetes y registros del lado del servidor donde esté disponible. |
| error de decodificación | Del lado del servidor | No se pudo decodificar correctamente un mensaje TLS. | A menudo causado por mensajes TLS malformados, incompatibilidad de protocolo o defectos de implementación. Valide con captura de paquetes y actualice bibliotecas o aplicaciones TLS afectadas. |
Puntos clave
- Utilice la Descripción de Error de TLS como el campo CMA principal para alertas del protocolo TLS.
- Utilice el Error de Certificado TLS para problemas de validación del certificado del servidor de destino.
- Los errores X.509 mostrados en CMA son sobre el certificado del servidor de destino, no el certificado Cato.
- Una alerta de certificado del lado del cliente puede estar relacionada con la confianza del endpoint, fijación de certificados o despliegue de confianza de Inspección TLS; una alerta del lado del servidor generalmente apunta al comportamiento del servidor de destino o negociación de protocolo.
- Confirme el lado de la alerta con diagnósticos de soporte cuando el evento CMA por sí solo no sea suficiente.
Para orientación adicional, Para más información, por favor refiérase aMejores Prácticas para Inspección TLS
0 comentarios
El artículo está cerrado para comentarios.