Обзор
Когда соединение TLS терпит неудачу, Cato может наблюдать оповещения протокола TLS, ошибки проверки сертификатов X.509 и внутренние ошибки обработки SSL. Это руководство сосредоточено на полях, видимых в событиях Приложения управления Cato (CMA), и объясняет, как их интерпретировать, не предполагая, что ошибка TLS вызвана сертификатом Cato или инспекцией TLS.
Важно: Ошибки проверки сертификатов X.509, отображаемые в CMA, относятся к проверке сертификата сервера назначения. Они не указывают на проблему с сертификатом Cato. Оповещения протокола TLS в поле описания ошибок TLS могут быть созданы как на стороне клиента, так и на стороне сервера.
Эти значения ошибок являются отраслевым стандартом. Они получены от Протокола TLS, который Cato использует для проверки событий, связанных с TLS. В результате названия и описания ошибок отражают стандартное поведение OpenSSL и могут не всегда точно сопоставляться с наблюдаемой проблемой в среде и могут изменяться в любое время.
Какие поля TLS видны в CMA?
| Поле CMA | Что это представляет | Как его использовать |
| Описание ошибок TLS | Оповещение протокола TLS, наблюдаемое во время обмена TLS, например неизвестный CA, неизвестный сертификат, сбой рукопожатия или плохой MAC записи. | Используйте это как основное поле для понимания причины сбоя сессии на уровне протокола. Оповещение может исходить от любой конечной точки. |
| Ошибка сертификата TLS | Обнаружена проблема с проверкой сертификата X.509 при проверке сертификата сервера назначения, например сертификат просрочен, несовпадение имени хоста или самоподписанный сертификат в цепочке сертификатов. | Используйте это, чтобы выявить проблемы с сертификатом сервера назначения или цепочкой сертификатов. Эти ошибки обычно вне конфигурации конечной точки клиента и сертификата Cato. |
| Тип ошибки TLS | Указывает серьезность оповещения TLS, сообщаемого протоколом, например, предупреждение или фатальную ошибку. | Используйте это только в качестве контекста. Фатальные оповещения прекращают сессию; предупреждающие оповещения могут как прекращать, так и не прекращать ее в зависимости от поведения конечной точки. |
Как интерпретировать оповещения на стороне клиента и сервера
Оповещение TLS описывает, что одна из конечных точек сообщила во время рукопожатия или обмена записями. Сторона оповещения имеет значение:
- Оповещение на стороне клиента: клиент отверг что-то, что он получил, или решил, что рукопожатие не может продолжаться. В сценариях инспекции TLS это может включать отклонение сертификата, представленного на инспекцию, отклонение параметров сертификата или сбой из-за несовпадения протокола или шифра.
- Оповещение на стороне сервера: сервер назначения отклонил рукопожатие или сообщил о проблеме с поведением со стороны клиента, параметрами протокола, согласованием шифра или обработкой записей.
- CMA отображает описание оповещения, но сторона оповещения не отображается. Может потребоваться поддержка для диагностики, чтобы подтвердить, какая из конечных точек отправила оповещение.
Рекомендуемый подход к устранению неполадок
- Начните с поля описания ошибки TLS для протокольных оповещений и поля ошибки сертификата TLS для проблем с проверкой сертификатов сервера назначения.
- Не предполагается, что TLS-оповещение, связанное с сертификатом, всегда означает, что корневой сертификат Cato отсутствует. Сначала определите, является ли это оповещение протокольным оповещением TLS или ошибкой проверки X.509.
- Сравните поведение с отключенной инспекцией TLS или с обходом назначения только при необходимости для приложения и политики безопасности.
- Для постоянных проблем проверьте цепочку сертификатов назначения, имя хоста/SAN, поддерживаемые версии TLS и наборы шифров. Снимки пакетов могут помочь подтвердить, с какой стороны было отправлено оповещение.
Для более продвинутого устранения неполадок обратитесь к Устранение неполадок инспекции TLS
Общие ошибки и их значения
Следующие таблицы описывают наиболее распространенные ошибки TLS (как отображается в поле "Описание ошибки TLS" в журнале событий), вместе с их типичными причинами и общими шагами по устранению.
Оповещения TLS, связанные с сертификатом и доверием
| Описание ошибки TLS | Типичная сторона оповещения | Значение | Общие причины и меры по устранению |
| неизвестный ca | Клиентская сторона | Издатель сертификата не доверен равноправному участнику. | Клиент может не доверять CA, выдавшему представленный сертификат. В сценариях инспекции TLS убедитесь, что корневой сертификат Cato установлен и доверен на конечной точке. Также проверьте на отсутствие промежуточных звеньев или требования доверия частных CA. |
| неизвестный сертификат | Клиентская сторона | Сертификат был отклонен по общей или неуточненной причине. | Это часто является широким клиентским отклонением. Проверьте исправность сертификата, использование ключей, полноту цепочки, хранилище доверия конечной точки и поведение проверки сертификатов, специфических для приложения. Сравните с отключенной инспекцией TLS, если необходимо. |
| недействительный сертификат | Клиентская сторона | Сертификат не прошел проверку. | Возможные причины включают неправильное использование ключей, проблемы с цепочкой, несовпадение имени хоста, привязку сертификатов или отклонение приложения из-за инспектируемого сертификата. Исправьте проблемы с доверием сертификатов/цепочкой или обойдите инспекцию TLS для приложений, которые не могут быть инспектированы. |
| неподдерживаемый сертификат | Клиентская сторона, редко встречается | Сертификат использует неподдерживаемые параметры или алгоритмы. | Замените слабые или устаревшие алгоритмы и ключи на современные поддерживаемые стандарты. |
Ошибки проверки сертификатов сервера назначения X.509
| Ошибка сертификата TLS | Типичный источник | Значение | Общие причины и меры по устранению |
| сертификат просрочен | Сертификат сервера | Срок действия сертификата сервера назначения истек. | Владелец веб-сайта или сервиса должен продлить сертификат и обеспечить правильную ротацию сертификатов. |
| невозможно получить локальный сертификат издателя | Цепочка сертификатов сервера | Сертификат издателя или промежуточный сертификат, необходимый для проверки сертификата сервера, отсутствует или не доверен. | Сервер назначения должен предоставить полную цепочку сертификатов. Это обычно решается владельцем сервиса назначения. |
| несоответствие IP-адреса | Идентификация сертификата сервера | Сертификат не соответствует IP-адресу, используемому для соединения. | Получайте доступ к сервису через FQDN или обновите SAN сертификата сервера, включив в него IP-адрес, если это уместно. |
| несоответствие имени хоста | Идентификация сертификата сервера | Сертификат не соответствует запрашиваемому имени хоста. | Исправьте SAN/CN сертификата сервера или убедитесь, что пользователи получают доступ к сервису, используя имя хоста, покрытое сертификатом. |
| самоподписанный сертификат | Доверие к сертификату сервера | Сервер назначения предоставляет самоподписанный сертификат, которому по умолчанию не доверяют. | Используйте общедоверенный или корпоративно-доверенный CA-сертификат или явно доверьтесь сертификату, если это уместно. |
| самоподписанный сертификат в цепочке сертификатов | Цепочка сертификатов сервера | В цепочке сертификатов сервера появляется самоподписанный сертификат. | Замените цепочку на надлежащую доверенную CA-цепочку или убедитесь, что соответствующий CA доверен проверяющей стороной. |
Протокол, версии и оповещения шифра
| Описание ошибки TLS | Типичная сторона оповещения | Значение | Общие причины и меры по устранению |
| версия протокола | Клиентская сторона | Конечные точки не смогли договориться о поддерживаемой версии TLS. | Обновите унаследованные клиенты или серверы и обеспечьте пересечение поддерживаемых версий, предпочтительно TLS 1.2 или TLS 1.3. |
| сбой рукопожатия | Клиентская сторона | Рукопожатие не удалось завершить, часто из-за отсутствия взаимоприемлемых параметров. | Проверьте поддерживаемые версии TLS, наборы шифров, расширения, поведение SNI и требования к сертификатам. Синхронизируйте конфигурации TLS клиента и сервера. |
| нелегальный параметр | В основном на стороне клиента; также может быть на стороне сервера | Одна конечная точка отклонила параметры рукопожатия TLS как недействительные или неожиданные. | Проверьте на наличие несовместимых расширений TLS, неподдерживаемых групп/алгоритмов подписи или нестандартных реализаций клиента/сервера. Используйте перехват пакетов для устойчивых случаев. |
| недостаточная безопасность | На стороне сервера, редко встречается | Одна конечная точка сочла согласованные параметры слишком слабыми. | Отключите устаревшие протоколы и слабые шифры. Настройте современные наборы шифров и политики безопасности на затронутой конечной точке. |
Предупреждения уровня записи и различные оповещения TLS
| Описание ошибки TLS | Типичная сторона оповещения | Значение | Распространенные причины и исправление |
| ошибка контрольной суммы записи | На стороне клиента | Проверка целостности записи TLS не удалась. | Может быть вызвано поврежденным трафиком, потерей пакетов, вмешательством посредников или перекрывающимися устройствами проверки/прокси. Проверьте согласованность пути и сравните без других устройств перехвата. |
| ошибка расшифровки | На стороне сервера, редко встречается | Не удалось расшифровать или проверить запись TLS или значение рукопожатия. | Проверьте на несоответствие протоколов, вмешательство посредников или проблемы с реализацией. Упрощение пути трафика и проверка с помощью перехвата пакетов. |
| неожиданное сообщение | На стороне клиента | Была получена сообщение TLS вне последовательности. | Часто указывает на несогласованность протокола, несовместимую реализацию или некорректное поведение конечной точки. Обновите затронутых клиентов/серверы и проверяйте с помощью перехвата пакетов, если проблема устойчива. |
| внутренняя ошибка | На стороне клиента | Произошел общий сбой внутри стека TLS. | Может быть временным или специфичным для реализации. Если повторяется, соберите детали события, журналы конечной точки и захваты пакетов для поддержки анализа. |
| неизвестно | На стороне сервера | Было обнаружено общее или неназначенное оповещение TLS. | Рассматривайте как индикатор широкого сбоя. Связать с поведением назначения, перехватами пакетов и журналами на стороне сервера, где это возможно. |
| ошибка декодирования | На стороне сервера | Сообщение TLS не удалось корректно декодировать. | Часто вызвано неправильно сформированными сообщениями TLS, несовместимостью протоколов или дефектами реализации. Проверяйте с помощью захвата пакетов и обновляйте затронутые библиотеки или приложения TLS. |
Основные выводы
- Используйте Описание ошибки TLS как основное поле CMA для оповещений протокола TLS.
- Используйте Ошибку сертификата TLS для проблем с проверкой сертификата сервера назначения.
- Ошибки X.509, отображаемые в CMA, связаны с сертификатом сервера назначения, а не сертификатом Cato.
- Оповещение о сертификате на стороне клиента может быть связано с доверием к конечной точке, закреплением сертификата или развертыванием инспекции TLS; оповещение на стороне сервера обычно указывает на поведение сервера назначения или согласование протокола.
- Подтвердите сторону оповещения с диагностикой поддержки, если событие CMA недостаточно.
Для дополнительной консультации, для получения дополнительной информации, пожалуйста, обратитесь к Лучшие практики для инспекции TLS
0 комментариев
Статья закрыта для комментариев.