概要
TLS接続が失敗すると、CatoはTLSプロトコルのアラート、X.509証明書の検証エラー、および内部SSL処理エラーを観察することがあります。 このガイドは、Cato管理アプリケーション (CMA) イベントで表示されるフィールドに焦点を当て、Cato証明書またはTLSインスペクションの原因としてTLSエラーを前提としていない解釈方法を説明します。
重要: CMAに表示されるX.509証明書検証エラーは、宛先サーバー証明書の検証に関連しています。 これらはCato証明書に問題があることを示しているわけではありません。 TLSエラーデスクリプションフィールドでは、クライアントサイドまたはサーバーサイドでTLSプロトコルアラートが生成されることがあります。
これらのエラー値は業界標準です。 これらはTLSプロトコルから派生しており、CatoはTLS関連のイベント検証に使用します。 その結果、エラー名と説明は標準のOpenSSLの動作を反映しており、環境で観察された問題と一致しないことがあります。いつでも変更される可能性があります。
CMAで見えるTLSフィールドはどれですか?
| CMAフィールド | それが何を表しているか | それの使い方 |
| TLSエラーデスクリプション | 不明なCA、証明書不明、ハンドシェイク失敗、または不正なレコードMACなど、TLS交換中の観察されたTLSプロトコルアラート。 | TLSセッションが失敗したプロトコルレベルの原因を理解するための主要なフィールドとして使用します。 アラートはどちらかのエンドポイントから発信される可能性があります。 |
| TLS証明書エラー | X.509証明書検証中に検出された宛先サーバー証明書の検証問題、例えば、証明書の期限切れ、ホスト名の不一致、または証明書チェーン内の自己署名証明書。 | 宛先サーバー証明書または証明書チェーンの問題を特定するために使用します。 これらのエラーは通常、顧客のエンドポイントとCato証明書構成の外側にあります。 |
| TLSエラータイプ | プロトコルが報告したTLSアラートのセベリティを示し、例えば警告や致命的なものが含まれます。 | これをコンテキストとしてのみ使用します。 致命的なアラートはセッションを終了し、警告アラートはエンドポイントの挙動に依存して終了される場合があります。 |
クライアント側およびサーバー側のアラートを解釈する方法
TLSアラートは、ハンドシェイクまたはレコード交換中に一方のエンドポイントが報告した内容を説明します。 アラートの側面は重要です:
- クライアント側のアラート: クライアントが受け取ったものを拒否するか、ハンドシェイクが続行できないと判断しました。 TLSインスペクションシナリオでは、クライアントが検査中に提示された証明書を拒否したり、証明書パラメータを拒否したり、プロトコルや暗号の不一致のために失敗したりすることが含まれる場合があります。
- サーバー側のアラート: 宛先サーバーがハンドシェイクを拒否するか、クライアント側の動作、プロトコルパラメータ、暗号ネゴシエーション、またはレコード処理に関する問題を報告しました。
- CMAはアラートの説明を表示しますが、アラートの側面は表示されません。 アラートをどのエンドポイントが送信したかを確認するために、診断でサポート支援が必要な場合があります。
推奨されるトラブルシューティングのアプローチ
- プロトコルアラート用のTLSエラーデスクリプションフィールド、宛先サーバー証明書検証問題用のTLS証明書エラーフィールドから始めます。
- 証明書に関連したTLSアラートが常にCato Root CAが欠落していることを意味するとは限りません。 まずアラートがTLSプロトコルアラートなのか、X.509検証エラーなのかを判断します。
- アプリケーションおよびセキュリティポリシーに適切な場合のみ、宛先をバイパスして比較するか、TLSインスペクションを無効化して比較します。
- 持続的な問題については、宛先証明書チェーン、ホスト名/SAN、サポートされるTLSバージョン、暗号スイートを検証します。 パケットキャプチャはどちらの側がアラートを送信したかを確認するのに役立ちます。
高度なトラブルシューティングについては、TLSインスペクショントラブルシューティングを参照してください。
一般的なエラーと意味
以下の表は、最も一般的なTLSエラー (イベントログの"TLSエラーデスクリプション"フィールドに表示される) を説明し、それらの典型的な原因と一般的な解決手順を示しています。
証明書と信頼に関連するTLSアラート
| TLSエラーデスクリプション | 一般的なアラート側 | 意味 | 一般的な原因と回避策 |
| 不明なCA | クライアント側 | 証明書発行者がピアによって信頼されていません。 | クライアントが提示された証明書を発行したCAを信頼していない可能性があります。 TLSインスペクションシナリオでは、Cato Root CAがエンドポイントにインストールされて信頼されていることを確認してください。 不足している中間CAやプライベートCAの信頼要件のチェックも行ってください。 |
| 証明書不明 | クライアント側 | 証明書は一般的または特定されていない理由で拒否されました。 | これは通常、広範なクライアントの拒否です。 証明書の有効性、キーユセージ、チェーンの完結性、エンドポイントのトラストストア、およびアプリケーション固有の証明書検証動作を確認してください。 必要に応じてTLSインスペクションを無効化して比較します。 |
| 悪い証明書 | クライアント側 | 証明書は検証チェックに失敗しました。 | 可能な原因には、誤ったキーユセージ、チェーンの問題、ホスト名の不一致、証明書ピニング、または検査された証明書を拒否するアプリケーションが含まれます。 アプリケーションを検査できない場合は、証明書の信頼/チェーンの問題を修正するか、TLSインスペクションをバイパスします。 |
| サポートされていない証明書 | クライアント側、まれ | 証明書はサポートされていないパラメータやアルゴリズムを使用しています。 | 弱いまたは廃止されたアルゴリズムとキーを、最新のサポートされる標準に置き換えます。 |
X.509宛先サーバー証明書検証エラー
| TLS証明書エラー | 一般的なソース | 意味 | 一般的な原因と回避策 |
| 証明書の期限切れ | サーバー証明書 | 宛先サーバー証明書が有効期限を過ぎています。 | ウェブサイトまたはサービスの所有者は証明書を更新し、適切な証明書ローテーションを確立する必要があります。 |
| ローカル発行者証明書を取得できません | サーバー証明書チェーン | サーバー証明書を検証するために必要な発行者または中間証明書が不足しているか、信頼されていません。 | 宛先サーバーは完全な証明書チェーンを提示する必要があります。 これは通常、宛先サービス所有者によって解決されます。 |
| IPアドレスの不一致 | サーバー証明書アイデンティティ | 証明書が接続に使用されたIPアドレスに一致しません。 | FQDNでサービスにアクセスするか、サーバー証明書のSANを適切にIPアドレスを含むように更新します。 |
| ホスト名の不一致 | サーバー証明書アイデンティティ | 証明書は要求されたホスト名とは一致しません。 | サーバー証明書のSAN/CNを修正するか、ユーザーが証明書でカバーされたホスト名を使用してサービスにアクセスすることを保証します。 |
| 自己署名証明書 | サーバー証明書の信頼 | 宛先はデフォルトで信頼されていない自己署名証明書を提示します。 | 公に信頼されたCA証明書または企業信頼のCA証明書を使用するか、適切な場所で証明書を明示的に信頼します。 |
| 証明書チェーンに自己署名証明書が含まれています | サーバー証明書チェーン | 自己署名証明書がサーバー証明書チェーンに現れます。 | 適切に信頼されているCAチェーンに置き換えるか、関連CAが検証者によって信頼されていることを保証します。 |
プロトコル、バージョン、および暗号のアラート
| TLSエラーデスクリプション | 一般的なアラート側 | 意味 | 一般的な原因と回避策 |
| プロトコルバージョン | クライアント側 | エンドポイントが支持されるTLSバージョンについて合意できませんでした。 | レガシークライアントまたはサーバーをアップグレードし、サポートされるバージョンにオーバーラップを確保し、できればTLS 1.2またはTLS 1.3を使用します。 |
| ハンドシェイク失敗 | クライアント側 | ハンドシェイクが完了できず、通常は相互に受け入れることができるパラメータが利用できませんでした。 | サポートされるTLSバージョン、暗号スイート、拡張機能、SNI動作、および証明書の要件を確認します。 クライアントおよびサーバーのTLS設定を調整します。 |
| 不合法なパラメータ | 主にクライアント側で、サーバー側でも可能 | あるエンドポイントがTLSハンドシェイクパラメータを無効または予期せぬものとして拒否しました。 | 互換性のないTLS拡張、未サポートのグループ/署名アルゴリズム、または標準でないクライアント/サーバー実装をチェックしてください。 しつこいケースにはパケットキャプチャを使用してください。 |
| セキュリティが不十分 | サーバー側では珍しい | あるエンドポイントが交渉されたパラメータを弱すぎると考えました。 | 古いプロトコルと弱い暗号を無効にします。 影響を受けたエンドポイントにモダンな暗号スイートとセキュリティポリシーを設定します。 |
レコード層およびその他のTLSアラート
| TLSエラー説明 | 一般的なアラート側 | 意味 | 一般的な原因と修復方法 |
| 不良レコードMAC | クライアント側 | TLSレコードの整合性チェックが失敗しました。 | 破損したトラフィック、パケットロス、ミドルボックスの干渉、またはオーバーラッピングインスペクション/プロキシデバイスによって引き起こされる可能性があります。 他のインターセプションデバイスなしでパスの整合性をテストして比較してください。 |
| デコードエラー | サーバー側では珍しい | TLSレコードまたはハンドシェイク値が復号化または検証できませんでした。 | プロトコルの不一致、ミドルボックスの干渉、または実装の問題をチェックしてください。 トラフィックパスを簡素化し、パケットキャプチャで検証してください。 |
| 予期しないメッセージ | クライアント側 | TLSメッセージが順序を外れて受信されました。 | 通常、プロトコルの矛盾、互換性のない実装、またはバグのあるエンドポイントの動作を示します。 影響を受けたクライアント/サーバーをアップグレードし、しつこい場合はパケットキャプチャで検証してください。 |
| 内部エラー | クライアント側 | TLSスタックの中で一般的な失敗が発生しました。 | 一時的または実装固有のものである可能性があります。 再現可能である場合は、イベントの詳細、エンドポイントログ、およびサポート分析のためのパケットキャプチャを収集してください。 |
| 不明 | サーバー側 | 一般的または未マッピングのTLSアラートが観察されました。 | 広範な失敗指標として扱います。 利用可能な場合は、宛先の動作、パケットキャプチャ、およびサーバー側のログと相関させます。 |
| デコードエラー | サーバー側 | TLSメッセージが正しくデコードできませんでした。 | よくある原因は、誤ったTLSメッセージ、プロトコルの非互換性、または実装の欠陥によるものです。 パケットキャプチャで検証し、影響を受けるTLSライブラリまたはアプリケーションを更新してください。 |
主な考え
- TLSエラー説明をTLSプロトコルアラートのメインCMAフィールドとして使用してください。
- TLS証明書エラーを宛先サーバー証明書検証の問題に使用してください。
- CMAに表示されるX.509エラーは、Cato証明書ではなく宛先サーバー証明書に関するものです。
- クライアント側の証明書アラートは、エンドポイントの信頼、証明書のピン留め、またはTLS検査の信頼展開に関連する可能性があります。サーバー側のアラートは通常、宛先サーバーの動作またはプロトコル交渉を指摘します。
- CMAイベントだけでは十分でない場合は、サポート診断を使用してアラート側を確認してください。
追加の指導を受けるには、詳細についてはTLSインスペクションのベストプラクティスを参照してください。
0件のコメント
記事コメントは受け付けていません。