下一代防火墻 Palo Alto 如何解密 TLS 1.3 連接?
據我在 TLS 1.3 中的理解,在“Client Hello”中發送的 SNI 是使用網站所有者在 DNS TXT 記錄中發布的公鑰加密的。
因此,當連接到此類網站時,像 Palo Alto 這樣的防火墻無法看到客戶端嘗試連接的位置(因為 SNI 已加密),因此無法充當??轉發代理并代表用戶打開連接。
我發現了一篇 Palo Alto Support 文章,它描述了如何配置 TLS 1.3 解密,但它沒有描述解密是如何在幕后作業的
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-admin/decryption/decryption-concepts/tlsv13-ssl-decryption-support
uj5u.com熱心網友回復:
據我在 TLS 1.3 中的理解,在“Client Hello”中發送的 SNI 是加密的......
不,有像 ESNI(加密 SNI)和ECH(加密 ClientHello)這樣的提議,但這些不是 TLS 1.3 的一部分。不過,有一些公開的實驗。
.. 看不到客戶端嘗試連接的位置(因為 SNI 已加密),因此無法充當??轉發代理并代表用戶打開連接。
如果 TLS 攔截防火墻以透明模式部署,它可以從客戶端資料包中獲取目標 IP 地址 - 但這可能不足以創建到需要 SNI 的服務器的 TLS 連接。因此需要在原始 ClientHello 中明確 SNI(正如 TLS 1.3 提供的那樣)。請注意,盡管防火墻可能會簡單地阻止使用 ESNI 或 ECH 的流量,以強制客戶端使用清晰的 SNI - 另請參閱中國現在阻止使用 TLS 1.3 和 ESNI 的所有加密 HTTPS 流量。
如果將 TLS 攔截防火墻部署為顯式防火墻,則請求的域在對代理的 CONNECT 請求中找到,因此不需要從 ClientHello 中提取。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/508669.html