Vue d'ensemble
Lorsqu'une connexion TLS échoue, Cato peut observer des alertes de protocole TLS, des erreurs de validation de certificat X.509 et des erreurs de traitement SSL internes. Ce guide se concentre sur les champs visibles dans les événements de l'Application de Gestion Cato (CMA) et explique comment les interpréter sans supposer que l'erreur TLS est causée par le certificat Cato ou l'Inspection TLS.
Important : Les erreurs de validation de certificat X.509 affichées dans CMA concernent la validation du certificat du serveur de destination. Elles n'indiquent pas de problème avec le certificat Cato. Les alertes de protocole TLS dans le champ Description de l'Erreur TLS peuvent être générées soit par le côté client, soit par le côté serveur.
Ces valeurs d'erreur sont standard dans l'industrie. Elles sont dérivées du Protocole TLS, que Cato utilise pour la validation des événements liés à TLS. En conséquence, les noms d'erreur et les descriptions reflètent le comportement Standard d'OpenSSL et peuvent ne pas toujours correspondre exactement au problème observé dans l'environnement et pourraient changer à tout moment.
Quels champs TLS sont visibles dans CMA ?
| Champ CMA | Ce qu'il représente | Comment l'utiliser |
| Description de l'Erreur TLS | Une alerte de protocole TLS observée durant l'échange TLS, comme CA inconnu, certificat inconnu, échec de poignée de main, ou mauvais enregistrement MAC. | Utilisez ceci comme champ principal pour comprendre la raison au niveau protocole de l'échec de la session TLS. L'alerte peut provenir de l'un ou l'autre point d'extrémité. |
| Erreur de Certificat TLS | Un problème de validation de certificat X.509 détecté lors de la validation du certificat du serveur de destination, tel que certificat expiré, non-concordance du nom d'hôte, ou certificat auto-signé dans la chaîne de certificats. | Utilisez ceci pour identifier les problèmes avec le certificat du serveur de destination ou la chaîne de certificats. Ces erreurs sont généralement en dehors de la configuration du certificat du point d'extrémité client et Cato. |
| Type d'erreur TLS | Indique la gravité de l'alerte TLS rapportée par le protocole, telle que avertissement ou fatale. | Utilisez cela uniquement comme contexte. Les alertes fatales terminent la session ; les alertes d'avertissement peuvent ou non la terminer selon le comportement du point d'extrémité. |
Comment interpréter les alertes côté client et côté serveur
Une alerte TLS décrit ce qu'un point d'extrémité a rapporté pendant la poignée de main ou l'échange d'enregistrement. La source de l'alerte est importante :
- Alerte côté client : le client a rejeté quelque chose qu'il a reçu ou a décidé que la poignée de main ne pouvait pas continuer. Dans des scénarios d'Inspection TLS, cela peut inclure le rejet par le client du certificat présenté lors de l'inspection, le rejet des paramètres de certificat, ou l'échec dû à une non-concordance de protocole ou de chiffrement.
- Alerte côté serveur : le serveur de destination a rejeté la poignée de main ou rapporté un problème avec le comportement côté client, les paramètres de protocole, la négociation de chiffrement ou le traitement d'enregistrement.
- CMA affiche la description de l'alerte, mais le côté de l'alerte n'est pas affiché. Une assistance de support avec des diagnostics peut être nécessaire pour confirmer quel point d'extrémité a envoyé l'alerte.
Approche de dépannage recommandée
- Commencez par le champ Description de l'Erreur TLS pour les alertes de protocole et le champ Erreur de Certificat TLS pour les problèmes de validation du certificat du serveur de destination.
- Ne supposez pas qu'une alerte TLS liée aux certificats signifie toujours que le Cato Root CA est manquant. Déterminez d'abord si l'alerte est une alerte de protocole TLS ou une erreur de validation X.509.
- Comparez le comportement avec l'Inspection TLS désactivée ou avec la destination contournée uniquement lorsque cela est approprié pour l'application et la politique de sécurité.
- Pour les problèmes persistants, validez la chaîne de certificats de destination, le nom d'hôte/SAN, les versions TLS supportées, et les suites de chiffrement. Les captures de paquets peuvent aider à confirmer de quel côté l'alerte a été envoyée.
Pour un dépannage avancé, veuillez vous référer à Dépannage de l'Inspection TLS
Erreurs Communes et Significations
Les tables suivantes décrivent les erreurs TLS communes (comme affiché dans le champ \"Description de l'Erreur TLS\" dans le journal d'événements), ainsi que leurs causes typiques et étapes de remédiation générale.
Alertes TLS liées aux certificats et à la confiance
| Description de l'Erreur TLS | Côté d'alerte typique | Signification | Causes communes et remédiation |
| CA inconnu | Côté client | L'émetteur du certificat n'est pas fiable par le pair. | Le client peut ne pas faire confiance au CA qui a émis le certificat présenté. Dans des scénarios d'Inspection TLS, confirmez que le Cato Root CA est installé et fiable sur le point d'extrémité. Vérifiez également les intermédiaires manquants ou les exigences de confiance de CA privés. |
| certificat inconnu | Côté client | Le certificat a été rejeté pour une raison générique ou non spécifiée. | C'est généralement un large rejet côté client. Vérifiez la validité du certificat, l'utilisation des clés, la complétude de la chaîne, le magasin de confiance du point d'extrémité et le comportement spécifique de validation du certificat de l'application. Comparez avec l'Inspection TLS désactivée si nécessaire. |
| certificat erroné | Côté client | Le certificat n'a pas réussi les contrôles de validation. | Les causes possibles incluent une utilisation incorrecte des clés, des problèmes de chaîne, des discordances du nom d'hôte, un pincement de certificat, ou une application rejetant le certificat inspecté. Corrigez les problèmes de confiance/de chaîne du certificat ou contournez l'Inspection TLS pour les applications qui ne peuvent pas être inspectées. |
| certificat non supporté | Côté client, peu commun | Le certificat utilise des paramètres ou algorithmes non supportés. | Remplacez les algorithmes et clés faibles ou obsolètes par des standards modernes supportés. |
Erreurs de validation de certificat du serveur de destination X.509
| Erreur de Certificat TLS | Source typique | Signification | Causes communes et remédiation |
| certificat expiré | Certificat du serveur | Le certificat du serveur de destination est passé sa période de validité. | Le propriétaire du site ou du service doit renouveler le certificat et assurer une rotation correcte des certificats. |
| incapable d'obtenir le certificat de l'émetteur local | Chaîne de certificats du serveur | L'émetteur ou le certificat intermédiaire nécessaire à la validation du certificat du serveur est manquant ou non fiable. | Le serveur de destination doit présenter la chaîne complète de certificats. Cela est généralement résolu par le propriétaire du service de destination. |
| non-concordance de l'adresse IP | Identité du certificat du serveur | Le certificat ne correspond pas à l'adresse IP utilisée pour la connexion. | Accédez au service par son FQDN ou mettez à jour le SAN du certificat du serveur pour inclure l'adresse IP lorsque cela est approprié. |
| non-concordance du nom d'hôte | Identité du certificat du serveur | Le certificat ne correspond pas au nom d'hôte demandé. | Corrigez le SAN/CN du certificat du serveur ou assurez que les utilisateurs accèdent au service en utilisant le nom d'hôte couvert par le certificat. |
| certificat auto-signé | Confiance du certificat du serveur | La destination présente un certificat auto-signé qui n'est pas fiable par défaut. | Utilisez un certificat CA publiquement fiable ou d'entreprise fiable, ou faites confiance explicitement au certificat là où cela est approprié. |
| certificat auto-signé dans la chaîne de certificats | Chaîne de certificats du serveur | Un certificat auto-signé apparaît dans la chaîne de certificats du serveur. | Remplacez la chaîne par une chaîne CA correctement fiable ou assurez que le CA pertinent est fiable par le parti validant. |
Alertes de protocole, version, et chiffrement
| Description de l'Erreur TLS | Côté d'alerte typique | Signification | Causes communes et remédiation |
| version de protocole | Côté client | Les points d'extrémité n'ont pas pu s'accorder sur une version TLS supportée. | Mettez à niveau les clients ou serveurs hérités et assurez un chevauchement dans les versions supportées, de préférence TLS 1.2 ou TLS 1.3. |
| échec de poignée de main | Côté client | La poignée de main n'a pas pu être complétée, souvent parce qu'aucun paramètre mutuellement acceptable n'était disponible. | Vérifiez les versions TLS supportées, les suites de chiffrement, les extensions, le comportement SNI, et les exigences de certificat. Alignez la configuration TLS du client et du serveur. |
| paramètre illégal | Surtout côté client; peut également être côté serveur | Un point de terminaison a rejeté les paramètres de la poignée de main TLS comme invalides ou inattendus. | Vérifiez les extensions TLS incompatibles, les groupes/algorithmes de signature non pris en charge ou les implémentations client/serveur non standard. Utilisez la capture de paquets pour les cas persistants. |
| Sécurité insuffisante | Côté serveur, peu commun | Un point de terminaison a considéré les paramètres négociés comme trop faibles. | Désactivez les protocoles obsolètes et les chiffrements faibles. Configurez des suites de chiffrement modernes et des politiques de sécurité sur le point de terminaison affecté. |
Couches de registre et alertes TLS diverses
| Description de l'erreur TLS | Côté alerte typique | Signification | Causes courantes et remédiation |
| Mauvais enregistrement MAC | Côté client | Une vérification de l'intégrité du registre TLS a échoué. | Peut être causé par un trafic corrompu, une perte de paquets, une interférence de middlebox ou des dispositifs de proxy/inspection qui se chevauchent. Testez la cohérence du chemin et comparez sans autres dispositifs d'interception. |
| Erreur de décryptage | Côté serveur, peu commun | Un registre TLS ou une valeur de poignée de main n'a pas pu être décrypter ou vérifier. | Vérifiez les incompatibilités de protocole, les interférences de middlebox ou les problèmes d'implémentation. Simplifiez le chemin du trafic et validez avec la capture de paquets. |
| Message inattendu | Côté client | Un message TLS a été reçu hors séquence. | Indique généralement une incohérence de protocole, des implémentations incompatibles ou un comportement buggy du point de terminaison. Mettez à niveau les clients/serveurs affectés et validez avec la capture de paquets si persistant. |
| Erreur interne | Côté client | Une défaillance générique s'est produite à l'intérieur d'une pile TLS. | Peut être transitoire ou spécifique à l'implémentation. Si reproductible, collectez les détails d'événements, les journaux de points d'extrémité et les captures de paquets pour une analyse de support. |
| Inconnu | Côté serveur | Une alerte TLS générique ou non mappée a été observée. | Traitez comme un indicateur de défaillance générale. Corrélez avec le comportement de destination, les captures de paquets et les journaux côté serveur où disponible. |
| Erreur de décodage | Côté serveur | Un message TLS n'a pas pu être correctement décodé. | Souvent causé par des messages TLS mal formés, des incompatibilités de protocole ou des défauts d'implémentation. Validez avec la capture de paquets et mettez à jour les bibliothèques ou applications TLS affectées. |
Points clés à retenir
- Utilisez Description de l'erreur TLS comme le champ principal CMA pour les alertes de protocole TLS.
- Utilisez Erreur de certificat TLS pour les problèmes de validation de certificat de serveur de destination.
- Les erreurs X.509 affichées dans CMA concernent le certificat de serveur de destination, pas le certificat Cato.
- Une alerte de certificat côté client peut être liée à la confiance du point de terminaison, à l'épinglage des certificats ou au déploiement de confiance d'inspection TLS; une alerte côté serveur pointe généralement vers le comportement du serveur de destination ou la négociation de protocole.
- Confirmez le côté d'alerte avec les diagnostics de support lorsque l'événement CMA seul ne suffit pas.
Pour des conseils supplémentaires, Pour plus d'informations, veuillez vous référer à Bonnes pratiques pour l'Inspection TLS
0 commentaire
Cet article n'accepte pas de commentaires.