अवलोकन

जब TLS कनेक्शन विफल हो जाता है, तो Cato संभवतः TLS प्रोटोकॉल अलर्ट, X.509 प्रमाणपत्र प्रमाणीकरण त्रुटियाँ, और आंतरिक SSL प्रोसेसिंग त्रुटियों का अवलोकन करता है। यह गाइड Cato प्रबंधन अनुप्रयोग (CMA) घटनाओं में दृश्यमान फ़ील्ड्स पर ध्यान केंद्रित करता है और उन्हें समझने का तरीका बताता है बिना यह मान लिए कि TLS त्रुटि Cato प्रमाणपत्र या TLS निरीक्षण के कारण होती है।

महत्वपूर्ण: CMA में दिखायी जाने वाली X.509 प्रमाणपत्र प्रमाणीकरण त्रुटियाँ गंतव्य सर्वर प्रमाणपत्र के प्रमाणीकरण से संबंधित होती हैं। यह Cato प्रमाणपत्र के साथ समस्या इंगित नहीं करती हैं। TLS त्रुटि विवरण फ़ील्ड में TLS प्रोटोकॉल अलर्ट को क्लाइंट साइड या सर्वर साइड द्वारा उत्पन्न किया जा सकता है।

ये त्रुटि मानक उद्योग मानक हैं। वे TLS प्रोटोकॉल से निकाले गए हैं, जिनका उपयोग Cato TLS संबंधित इवेंट प्रमाणीकरण के लिए करता है। परिणामस्वरूप, त्रुटि नाम और विवरण मानक ओपनएसएसएल व्यवहार को प्रतिबिंबित करते हैं और पर्यावरण में देखी गई समस्या के साथ हमेशा ठीक से मेल नहीं खा सकते हैं और कभी भी बदल सकते हैं।

कौन से TLS फ़ील्ड्स CMA में दृश्यमान हैं?

CMA फ़ील्ड	यह क्या दर्शाता है	इसे कैसे उपयोग करें
TLS त्रुटि विवरण	TLS विनिमय के दौरान देखा गया TLS प्रोटोकॉल अलर्ट, जैसे अज्ञात ca, प्रमाणपत्र अज्ञात, हैंडशेक विफलता, या खराब रिकॉर्ड मैक।	इसका उपयोग प्रोटोकॉल-स्तरीय कारण को समझने के लिए प्राथमिक फ़ील्ड के रूप में करें जिससे TLS सत्र विफल हुआ। अलर्ट मालूम हो सकता है या नहीं हो सकता है।
TLS प्रमाणपत्र त्रुटि	गंतव्य सर्वर प्रमाणपत्र के प्रमाणीकरण के दौरान पता चला X.509 प्रमाणपत्र प्रमाणीकरण समस्या, जैसे प्रमाणपत्र समाप्त हो चुका है, होस्टनाम असंगतता, या प्रमाणपत्र चेन में स्व साइन किया हुआ प्रमाणपत्र।	गंतव्य सर्वर प्रमाणपत्र या प्रमाणपत्र चेन के साथ समस्याओं की पहचान करने के लिए इसका उपयोग करें। ये त्रुटियाँ आमतौर पर ग्राहक एंडपॉइंट और Cato प्रमाणपत्र विन्यास के बाहर होती हैं।
TLS त्रुटि प्रकार	प्रोटोकॉल द्वारा रिपोर्ट की गई TLS अलर्ट गंभीरता को इंगित करता है, जैसे चेतावनी या घातक।	इसे केवल संदर्भ के रूप में उपयोग करें। घातक अलर्ट सत्र को समाप्त कर देते हैं; चेतावनी अलर्ट इसे समाप्त कर सकते हैं या नहीं कर सकते हैं, यह एंडपॉइंट के व्यवहार पर निर्भर करता है।

क्लाइंट-साइड और सर्वर-साइड अलर्ट्स की व्याख्या कैसे करें

एक TLS अलर्ट बताता है कि एक एंडपॉइंट ने हैंडशेक या रिकॉर्ड एक्सचेंज के दौरान क्या रिपोर्ट की। अलर्ट पक्ष मायने रखता है:

क्लाइंट-साइड अलर्ट: क्लाइंट ने कुछ ऐसा अस्वीकार कर दिया जिसे उसने प्राप्त किया या निर्णय लिया कि हैंडशेक जारी नहीं रह सकता। TLS निरीक्षण परिदृश्यों में, इसमें क्लाइंट द्वारा निरीक्षण के दौरान प्रस्तुत प्रमाणपत्र का अस्वीकार करना, प्रमाणपत्र पैरामीटर का अस्वीकार करना, या प्रोटोकॉल या साइफर असंगतता के कारण विफल होना शामिल हो सकता है।
सर्वर-साइड अलर्ट: गंतव्य सर्वर ने हैंडशेक को अस्वीकार कर दिया या क्लाइंट-साइड व्यवहार, प्रोटोकॉल पैरामीटर, साइफर नेगोशिएशन, या रिकॉर्ड प्रोसेसिंग के साथ समस्या की रिपोर्ट की।
CMA अलर्ट विवरण को प्रदर्शित करता है, लेकिन अलर्ट पक्ष प्रदर्शित नहीं होता है। संकेत करने के लिए कि किस एंडपॉइंट ने अलर्ट भेजा है, डायग्नोस्टिक्स के साथ समर्थन सहायता की आवश्यकता हो सकती है।

अनुशंसित समस्या निवारण विधि

प्रोटोकॉल अलर्ट्स के लिए TLS त्रुटि विवरण फ़ील्ड और गंतव्य सर्वर प्रमाण पत्र प्रमाणीकरण समस्याओं के लिए TLS प्रमाणपत्र त्रुटि फ़ील्ड के साथ शुरू करें।
यह न मानें कि प्रमाणपत्र-संबंधी TLS अलर्ट का हमेशा मतलब है कि Cato रूट CA अनुपलब्ध है। पहले निर्धारित करें कि अलर्ट TLS प्रोटोकॉल अलर्ट है या X.509 प्रमाणीकरण त्रुटि।
TLS निरीक्षण अक्षम या गंतव्य बाईपास का जब उचित हो, अनुप्रयोग और सुरक्षा नीति के लिए तुलना करें।
लगातार समस्याओं के लिए, गंतव्य प्रमाणपत्र चेन, होस्टनाम/SAN, समर्थित TLS संस्करण, और साइफर सूट का प्रमाणीकरण करें। पैकेट कैप्चर इस बात की पुष्टि करने में मदद कर सकते हैं कि किस पक्ष ने अलर्ट भेजा।

उन्नत समस्या निवारण के लिए कृपया TLS निरीक्षण समस्या निवारण देखें।

आम त्रुटियाँ और उनके अर्थ

निम्न तालिकाएँ सबसे आम TLS त्रुटियों का वर्णन करती हैं (जैसा कि इवेंट लॉग में "TLS त्रुटि का विवरण" फील्ड में प्रदर्शित किया गया है), उनके विशिष्ट कारणों और सामान्य उपचारात्मक कदमों के साथ।

प्रमाणपत्र और विश्वास-संबंधी TLS अलर्ट

TLS त्रुटि विवरण	सामान्य अलर्ट पक्ष	अर्थ	आम कारण और उपचार
अज्ञात ca	क्लाइंट-साइड	प्रमाणपत्र जारीकर्ता साथी द्वारा भरोसेमंद नहीं है।	क्लाइंट CA को जो प्रस्तुत प्रमाणपत्र जारी करता है, उस पर भरोसा नहीं कर सकता। TLS निरीक्षण परिदृश्यों में, पुष्टि करें कि Cato रूट CA एंडपॉइंट पर स्थापित है और भरोसेमंद है। अनुपलब्ध इंटर्मीडिएट्स या निजी CA भरोसे की आवश्यकताओं के लिए भी जाँच करें।
प्रमाणपत्र अज्ञात	क्लाइंट-साइड	प्रमाणपत्र को सामान्य या अनिर्दिष्ट कारण के लिए अस्वीकृत कर दिया गया था।	यह अक्सर एक व्यापक क्लाइंट अस्वीकृति है। प्रमाणपत्र वैधता, कुंजी उपयोग, चेन पूर्णता, एंडपॉइंट ट्रस्ट स्टोर, और एप्लिकेशन-विशिष्ट प्रमाणपत्र प्रमाणीकरण व्यवहार की जाँच करें। आवश्यकता होने पर TLS निरीक्षण अक्षम के साथ तुलना करें।
खराब प्रमाणपत्र	क्लाइंट-साइड	प्रमाणपत्र प्रमाणीकरण जांचों में विफल हुआ।	संभावित कारणों में गलत कुंजी उपयोग, चेन मुद्दे, होस्टनाम असंगतता, प्रमाणपत्र पिनिंग, या निरीक्षण प्रमाणपत्र अस्वीकार करने वाला अनुप्रयोग शामिल हो सकते हैं। उन अनुप्रयोगों के लिए TLS निरीक्षण को सत्यापित करें जो प्रमाणित नहीं किए जा सकते।
असमर्थित प्रमाणपत्र	क्लाइंट-साइड, असामान्य	प्रमाणपत्र असमर्थित पैरामीटर या एल्गोरिदम का उपयोग करता है।	कमजोर या अमान्य एल्गोरिदम और कुंजी को आधुनिक समर्थित मानकों से बदलें।

X.509 गंतव्य सर्वर प्रमाणपत्र प्रमाणीकरण त्रुटियां

TLS प्रमाणपत्र त्रुटि	सामान्य स्रोत	अर्थ	आम कारण और उपचार
प्रमाणपत्र की समाप्ति हो चुकी है	सर्वर प्रमाणपत्र	गंतव्य सर्वर प्रमाणपत्र की वैधता अवधि समाप्त हो चुकी है।	वेबसाइट या सेवा के मालिक को प्रमाणपत्र का नवीनीकरण करना चाहिए और उचित प्रमाणपत्र घूर्णन सुनिश्चित करना चाहिए।
स्थानीय जारीकर्ता प्रमाणपत्र प्राप्त करने में असमर्थ	सर्वर प्रमाणपत्र श्रृंखला	जारीकर्ता या इंटरमीडिएट प्रमाणपत्र जो सर्वर प्रमाणपत्र को मान्य करने के लिए आवश्यक है, अनुपलब्ध है या भरोसेमंद नहीं है।	गंतव्य सर्वर को पूरी प्रमाणपत्र श्रृंखला को प्रस्तुत करना चाहिए। यह आमतौर पर गंतव्य सेवा मालिक द्वारा हल किया जाता है।
IP पता असंगतता	सर्वर प्रमाणपत्र पहचान	प्रमाणपत्र उस IP पते से मेल नहीं खाता जिसका उपयोग कनेक्शन के लिए किया गया था।	सेवा तक इसकी FQDN से पहुँचें या जब उपयुक्त हो तो IP पते को शामिल करने के लिए सर्वर प्रमाणपत्र SAN को अपडेट करें।
होस्टनाम असंगतता	सर्वर प्रमाणपत्र पहचान	प्रमाणपत्र अनुरोधित होस्टनाम से मेल नहीं खाता।	सर्वर प्रमाणपत्र SAN/CN को सही करें या सुनिश्चित करें कि उपयोगकर्ता प्रमुख होस्टनाम का उपयोग करके सेवा तक पहुँचें।
स्व-हस्ताक्षरित प्रमाणपत्र	सर्वर प्रमाणपत्र विश्वास	गंतव्य एक स्व-हस्ताक्षरित प्रमाणपत्र प्रस्तुत करता है जो डिफ़ॉल्ट रूप से भरोसेमंद नहीं है।	एक सार्वजनिक रूप से भरोसेमंद या उद्यम-भरोसेमंद CA प्रमाणपत्र का उपयोग करें, या जहाँ उचित हो प्रमाणपत्र पर स्पष्ट रूप से भरोसा करें।
प्रमाणपत्र चेन में स्व-हस्ताक्षरित प्रमाणपत्र	सर्वर प्रमाणपत्र श्रृंखला	एक स्व-हस्ताक्षरित प्रमाणपत्र सर्वर प्रमाणपत्र श्रृंखला में दिखाई देता है।	चेन को उचित रूप से भरोसेमंद CA चेन से बदलें या सुनिश्चित करें कि संबंधित CA को प्रमाणीकरण करने वाले पक्ष द्वारा भरोसा किया जाए।

प्रोटोकॉल, संस्करण, और साइफर अलर्ट्स

TLS त्रुटि विवरण	सामान्य अलर्ट पक्ष	अर्थ	आम कारण और उपचार
प्रोटोकॉल संस्करण	क्लाइंट-साइड	एंडपॉइंट्स समर्थित TLS संस्करण पर सहमति नहीं दे सके।	पारंपरिक क्लाइंट्स या सर्वर्स को अपग्रेड करें और समर्थित संस्करणों में अधिव्यापन सुनिश्चित करें, अधिमानतः TLS 1.2 या TLS 1.3।
हैंडशेक विफलता	क्लाइंट-साइड	हैंडशेक पूर्ण नहीं हो सका, अक्सर इसलिए क्योंकि कोई सर्वसम्मत स्वीकार्य पैरामीटर उपलब्ध नहीं थे।	समर्थित TLS संस्करणों, साइफर सूट्स, एक्सटेंशन्स, SNI व्यवहार, और प्रमाणपत्र आवश्यकताओं की जाँच करें। क्लाइंट और सर्वर TLS कॉन्फ़िगरेशन को संरेखित करें।
गैर-कानूनी पैरामीटर	अधिकांश ग्राहक-पक्ष; यह भी सर्वर-पक्ष हो सकता है	एक एंडपॉइंट ने TLS हैंडशेक पैरामीटर को अमान्य या अप्रत्याशित मानकर अस्वीकार कर दिया।	असंगत TLS एक्सटेंशन, असमर्थित समूह/हस्ताक्षर एल्गोरिदम, या गैर-मानक क्लाइंट/सर्वर कार्यान्वयन की जाँच करें। स्थायी मामलों के लिए पैकेट कैप्चर का उपयोग करें।
अपर्याप्त सुरक्षा	सर्वर-पक्ष, असामान्य	एक एंडपॉइंट ने बातचीत की गई पैरामीटर को बहुत कमजोर माना।	पुराने प्रोटोकॉल और कमजोर सिफर को निष्क्रिय करें। प्रभावी एंडपॉइंट पर आधुनिक सिफर सूट और सुरक्षा नीतियाँ कॉन्फ़िगर करें।

रेकॉर्ड-लेयर और विविध TLS अलर्ट

TLS त्रुटि विवरण	सामान्य अलर्ट पक्ष	अर्थ	सामान्य कारण और सुधार उपाय
बुरा रिकॉर्ड मैक	क्लाइंट-पक्ष	TLS रेकॉर्ड अखंडता की जांच विफल रही।	भ्रष्ट ट्रैफ़िक, पैकेट नुकसान, मध्यवर्ती हस्तक्षेप, या ओवरलैपिंग निरीक्षण/प्रॉक्सी डिवाइस के कारण हो सकता है। पथ की संगति का परीक्षण करें और अन्य इंटरसेप्शन डिवाइस के बिना तुलना करें।
डिक्रिप्ट त्रुटि	सर्वर-पक्ष, असामान्य	TLS रेकॉर्ड या हैंडशेक मान को डिक्रिप्ट या सत्यापित नहीं किया जा सका।	प्रोटोकॉल बेमेल, मध्यवर्ती हस्तक्षेप, या कार्यान्वयन समस्याओं की जांच करें। ट्रैफ़िक पथ को सरल बनाएं और पैकेट कैप्चर के साथ सत्यापित करें।
अप्रत्याशित संदेश	क्लाइंट-पक्ष	एक TLS संदेश अनुक्रम से बाहर प्राप्त हुआ था।	आमतौर पर प्रोटोकॉल असंगति, असंगत कार्यान्वयन, या बग्गी एंडपॉइंट व्यवहार का संकेत देता है। प्रभावित क्लाइंट/सर्वर को अपग्रेड करें और यदि स्थायी हो तो पैकेट कैप्चर के साथ सत्यापित करें।
आंतरिक त्रुटि	क्लाइंट-पक्ष	एक सामान्य विफलता एक TLS स्टैक के अंदर हुई।	यह अस्थायी या कार्यान्वयन-विशिष्ट हो सकता है। अगर पुनरुत्पादक, समर्थन विश्लेषण के लिए घटना का विवरण, एंडपॉइंट लॉग और पैकेट कैप्चर एकत्र करें।
अज्ञात	सर्वर-पक्ष	एक सामान्य या अनमैप किया गया TLS अलर्ट देखा गया।	इसे एक व्यापक विफलता संकेतक के रूप में समझें। जहां उपलब्ध हो, गंतव्य व्यवहार, पैकेट कैप्चर और सर्वर-पक्ष लॉग के साथ सहसंबंध स्थापित करें।
डिकोड त्रुटि	सर्वर-पक्ष	एक TLS संदेश को सही ढंग से डिकोड नहीं किया जा सका।	अक्सर गलत निर्मित TLS संदेशों, प्रोटोकॉल असंगति, या कार्यान्वयन खामियों के कारण होता है। पैकेट कैप्चर के साथ सत्यापित करें और प्रभावित TLS पुस्तकालयों या अनुप्रयोगों को अपडेट करें।

प्रमुख प्रावधान

TLS प्रोटोकॉल अलर्ट के लिए मुख्य CMA क्षेत्र के रूप में TLS त्रुटि विवरण का उपयोग करें।
गंतव्य सर्वर प्रमाणपत्र सत्यापन समस्याओं के लिए TLS प्रमाणपत्र त्रुटि का उपयोग करें।
CMA में दिखाए गए X.509 त्रुटियाँ गंतव्य सर्वर प्रमाणपत्र के बारे में हैं, Cato प्रमाणपत्र के बारे में नहीं।
एक क्लाइंट-पक्ष प्रमाणपत्र अलर्ट एंडपॉइंट विश्वास, प्रमाणपत्र पिनिंग, या TLS निरीक्षण विश्वास परिनियोजन से संबंधित हो सकता है; एक सर्वर-पक्ष अलर्ट आमतौर पर गंतव्य सर्वर व्यवहार या प्रोटोकॉल वार्ता की ओर इशारा करता है।
जब CMA घटना अकेले पर्याप्त नहीं है, तो समर्थन डायग्नोस्टिक्स के साथ अलर्ट पक्ष की पुष्टि करें।

अतिरिक्त मार्गदर्शन के लिए, अधिक जानकारी के लिए, कृपया देखें TLS निरीक्षण के लिए सर्वोत्तम प्रथाएं

TLS त्रुटियों को समझना