Visão geral
Quando uma conexão TLS falha, Cato pode observar alertas de protocolo TLS, erros de validação de certificado X.509 e erros de processamento interno de SSL. Este guia foca nos campos visíveis em eventos do Aplicativo de Gerenciamento Cato (CMA) e explica como interpretá-los sem assumir que o erro TLS foi causado pelo certificado Cato ou pela Inspeção TLS.
Importante: Erros de validação de certificado X.509 mostrados no CMA estão relacionados à validação do certificado do servidor de destino. Eles não indicam problemas com o certificado Cato. Alertas de protocolo TLS no campo de Descrição do Erro TLS podem ser gerados tanto pelo lado do cliente quanto pelo lado do servidor.
Esses valores de erro são padrões da indústria. Eles são derivados do Protocolo TLS, que Cato usa para validação de eventos relacionados ao TLS. Como resultado, os nomes e descrições de erro refletem o comportamento padrão do OpenSSL e podem não corresponder exatamente ao problema observado no ambiente e podem mudar a qualquer momento.
Quais campos de TLS são visíveis no CMA?
| Campo CMA | O que representa | Como usá-lo |
| Descrição do Erro TLS | Um alerta de protocolo TLS observado durante a troca TLS, como CA desconhecido, certificado desconhecido, falha de handshake ou registro MAC ruim. | Use isso como o campo principal para entender a razão específica ao nível de protocolo pela qual a sessão TLS falhou. O alerta pode ter origem de qualquer dos pontos finais. |
| Erro de Certificado TLS | Um problema de validação de certificado X.509 detectado enquanto validava o certificado do servidor de destino, como certificado expirado, incompatibilidade de hostname ou certificado autoassinado na cadeia de certificados. | Use isso para identificar problemas com o certificado do servidor de destino ou a cadeia de certificados. Esses erros normalmente estão fora da configuração de endpoint do cliente e do certificado Cato. |
| Tipo de Erro de TLS | Indica a severidade do alerta TLS informado pelo protocolo, como aviso ou fatal. | Use isso apenas como contexto. Alertas fatais terminam a sessão; alertas de aviso podem ou não terminá-la dependendo do comportamento do ponto final. |
Como interpretar alertas do lado do cliente e do lado do servidor
Um alerta TLS descreve o que um ponto final relatou durante o handshake ou a troca de registro. O lado do alerta é importante:
- Alerta do lado do cliente: o cliente rejeitou algo que recebeu ou decidiu que o handshake não podia continuar. Em cenários de Inspeção TLS, isso pode incluir o cliente rejeitando o certificado apresentado durante a inspeção, rejeitando parâmetros de certificado ou falhando devido à incompatibilidade de protocolo ou cifra.
- Alerta do lado do servidor: o servidor de destino rejeitou o handshake ou relatou um problema com o comportamento do lado do cliente, parâmetros de protocolo, negociação de cifra ou processamento de registros.
- CMA exibe a descrição do alerta, mas o lado do alerta não é exibido. Pode ser necessária a assistência do suporte com diagnósticos para confirmar qual ponto final enviou o alerta.
Abordagem recomendada para solução de problemas
- Comece com o campo de Descrição do Erro TLS para alertas de protocolo e o campo de Erro de Certificado TLS para problemas de validação de certificado do servidor de destino.
- Não presuma que um alerta TLS relacionado a certificados sempre significa que o Cato Root CA está ausente. Primeiro determine se o alerta é um alerta de protocolo TLS ou um erro de validação X.509.
- Compare o comportamento com a Inspeção TLS desativada ou com o destino ignorado apenas quando for apropriado para o aplicativo e política de segurança.
- Para problemas persistentes, valide a cadeia de certificados de destino, hostname/SAN, versões TLS suportadas e suites de cifras. Capturas de pacotes podem ajudar a confirmar qual lado enviou o alerta.
Para solução de problemas avançados, por favor, reverta para Solução de Problemas de Inspeção TLS
Erros Comuns e Significados
As tabelas seguintes descrevem o Erro TLS mais comum (conforme exibido no campo "Descrição do Erro TLS" no log de eventos), junto com suas causas típicas e etapas gerais de remediação.
Alertas de TLS relacionados a certificados e confiança
| Descrição do Erro TLS | Lado típico do alerta | Significado | Causas comuns e remediação |
| CA desconhecida | Lado do Cliente | O emissor do certificado não é confiável pelo par. | O cliente pode não confiar na CA que emitiu o certificado apresentado. Em cenários de Inspeção TLS, confirme que o Cato Root CA está instalado e confiável no ponto final. Também verifique a ausência de intermediários ou requisitos de confiança de CA privada. |
| certificado desconhecido | Lado do Cliente | O certificado foi rejeitado por um motivo genérico ou não especificado. | Isso é muitas vezes uma rejeição ampla do cliente. Verifique a validade do certificado, uso de chave, completude da cadeia, loja de confiança do endpoint e comportamento de validação de certificado específico do aplicativo. Compare com Inspeção TLS desativada, se necessário. |
| certificado ruim | Lado do Cliente | O certificado falhou nas verificações de validação. | Causas possíveis incluem uso incorreto de chave, problemas na cadeia, incompatibilidade de hostname, pinagem de certificado ou um aplicativo rejeitando o certificado inspecionado. Corrija problemas de confiança/cadeia de certificados ou ignore a Inspeção TLS para aplicativos que não podem ser inspecionados. |
| certificado não suportado | Lado do cliente, incomum | O certificado usa parâmetros ou algoritmos não suportados. | Substitua algoritmos e chaves fracos ou obsoletos por padrões modernos suportados. |
Erros de validação de certificado X.509 do servidor de destino
| Erro de Certificado TLS | Fonte Típica | Significado | Causas comuns e remediação |
| certificado expirado | Certificado do servidor | O certificado do servidor de destino está fora de seu período de validade. | O proprietário do website ou serviço deve renovar o certificado e garantir a rotação adequada de certificados. |
| incapaz de obter certificado de emissor local | Cadeia de certificados do servidor | O emissor ou certificado intermediário necessário para validar o certificado do servidor está ausente ou não é confiável. | O servidor de destino deve apresentar a cadeia completa de certificados. Isso geralmente é resolvido pelo proprietário do serviço de destino. |
| incompatibilidade de endereço IP | Identidade do certificado do servidor | O certificado não corresponde ao endereço IP usado para a conexão. | Acesse o serviço por seu FQDN ou atualize o SAN do certificado do servidor para incluir o endereço IP quando apropriado. |
| incompatibilidade de hostname | Identidade do certificado do servidor | O certificado não corresponde ao hostname solicitado. | Corrija o SAN/CN do certificado do servidor ou garanta que os usuários acessem o serviço usando o hostname coberto pelo certificado. |
| certificado autoassinado | Confiança no certificado do servidor | O destino apresenta um certificado autoassinado que não é confiável por padrão. | Use um certificado CA de confiança pública ou empresarial, ou confie explicitamente no certificado quando apropriado. |
| certificado autoassinado na cadeia de certificados | Cadeia de certificados do servidor | Um certificado autoassinado aparece na cadeia de certificados do servidor. | Substitua a cadeia pela cadeia CA corretamente confiável ou garanta que o CA relevante seja confiável pela parte de validação. |
Alertas de protocolo, versão e cifra
| Descrição do Erro TLS | Lado típico do alerta | Significado | Causas comuns e remediação |
| versão do protocolo | Lado do Cliente | Os pontos finais não conseguiram concordar em uma versão TLS suportada. | Atualize clientes ou servidores legados e garanta sobreposição em versões suportadas, preferencialmente TLS 1.2 ou TLS 1.3. |
| falha de handshake | Lado do Cliente | O handshake não pôde ser concluído, muitas vezes porque nenhum parâmetro mutuamente aceitável estava disponível. | Verifique versões TLS suportadas, suites de cifras, extensões, comportamento SNI e requisitos de certificado. Alinhe a configuração TLS do cliente e servidor. |
| parâmetro ilegal | Principalmente no lado do cliente; também pode ser no lado do servidor | Um endpoint rejeitou parâmetros de handshake TLS como inválidos ou inesperados. | Verifique extensões TLS incompatíveis, grupos/algoritmos de assinatura não suportados ou implementações não padrão de cliente/servidor. Use captura de pacotes para casos persistentes. |
| segurança insuficiente | Lado do servidor, incomum | Um endpoint considerou os parâmetros negociados muito fracos. | Desativar protocolos obsoletos e cifras fracas. Configurar suites de cifras modernas e políticas de segurança no endpoint afetado. |
Alertas de TLS de camada de registro e diversos
| Descrição de Erro TLS | Lado de alerta típico | Significado | Causas comuns e remediação |
| mau registro mac | Lado do cliente | Uma verificação de integridade de registro TLS falhou. | Pode ser causado por tráfego corrompido, perda de pacotes, interferência de middlebox ou dispositivos de inspeção/proxy sobrepostos. Teste a consistência do caminho e compare sem outros dispositivos de intercepção. |
| erro de decodificação | Lado do servidor, incomum | Um registro TLS ou valor de handshake não pôde ser decifrado ou verificado. | Verifique incompatibilidade de protocolo, interferência de middlebox ou problemas de implementação. Simplifique o caminho do tráfego e valide com captura de pacotes. |
| mensagem inesperada | Lado do cliente | Uma mensagem TLS foi recebida fora de sequência. | Geralmente indica inconsistência de protocolo, implementações incompatíveis ou comportamento incorreto do endpoint. Atualize clientes/servidores afetados e valide com captura de pacotes, se persistente. |
| erro interno | Lado do cliente | Falha genérica ocorreu dentro de uma pilha TLS. | Pode ser transitório ou específico de implementação. Se for reprodutível, colete detalhes do evento, logs do endpoint e capturas de pacotes para análise de suporte. |
| desconhecido | Lado do servidor | Foi observado um alerta TLS genérico ou não mapeado. | Trate como indicador de falha ampla. Correlacione com comportamento de destino, capturas de pacotes e logs do lado do servidor onde disponíveis. |
| erro de decodificação | Lado do servidor | Uma mensagem TLS não pôde ser decodificada corretamente. | Frequentemente causado por mensagens TLS malformadas, incompatibilidade de protocolo ou defeitos de implementação. Valide com captura de pacotes e atualize bibliotecas TLS ou aplicações afetadas. |
Principais conclusões
- Use a Descrição de Erro TLS como o campo principal CMA para alertas de protocolo TLS.
- Use Erro de Certificado TLS para problemas de validação de certificado de servidor de destino.
- Erros X.509 exibidos no CMA são sobre o certificado do servidor de destino, não o certificado Cato.
- Um alerta de certificado no lado do cliente pode estar relacionado à confiança do endpoint, fixação de certificado ou implantação de confiança de Inspeção TLS; um alerta no lado do servidor geralmente aponta para comportamento do servidor de destino ou negociação de protocolo.
- Confirme o lado do alerta com diagnósticos de suporte quando o evento CMA sozinho não for suficiente.
Para orientação adicional, para mais informações, consulte Melhores Práticas para Inspeção TLS
0 comentário
Artigo fechado para comentários.