Descripción
Este artículo describe cómo solucionar la advertencia de certificado no confiable que se observa en el navegador al visitar algunos sitios web HTTPS, cuando FortiGate está configurado en modo proxy y se ha habilitado un perfil de inspección profunda SSL en una política de firewall.
Este es un problema conocido que ocurre con algunos de los sitios web HTTPS que usan un certificado de servidor emitido por Entrust.
Síntomas.
Cuando FortiGate no puede autenticar con éxito el certificado del servidor (es decir, CA raíz no confiable, certificado autofirmado caducado), presentará el certificado de CA configurado a través de set untrusted-caname en el perfil de inspección SSL (nombre de certificado de CA predeterminado: Fortinet_CA_Untrusted ).
Solución
La solución a este problema es que el administrador del sitio web elimine el certificado de CA raíz de Entrust no válido del servidor web y lo reemplace con un certificado de CA raíz de Entrust válido, o llame a Entrust para obtener más ayuda.
En FortiGate, la solución es descargar el certificado de CA raíz de Entrust no válido del sitio web afectado a través de un navegador web y luego agregarlo a la lista de CA de confianza de FortiGate.
Nota IMPORTANTE.
Esta solución debe considerarse una solución a corto plazo antes de que el administrador del sitio web implemente la solución anterior por su parte.
La solución alternativa se implementa de la siguiente manera:
1) Desde una estación de trabajo detrás de FortiGate con la inspección profunda de SSL habilitada, visite el sitio web afectado.
2) Desde un navegador web, descargue el certificado de CA raíz de Entrust no válido del sitio web afectado de la siguiente manera:
Chrome/Internet Explorer.
– Desde el navegador, vea el certificado dentro de la ventana de certificados de Windows:
Chrome : seleccione el ícono de candado a la izquierda de la URL HTTPS y luego seleccione ‘Certificado’.
Internet Explorer : seleccione el icono de candado a la derecha de la barra de direcciones y luego seleccione ‘Ver certificados’.
– Desde la ventana Certificado, vaya a la pestaña Ruta de certificación.
– Seleccione el certificado superior y haga clic en Ver certificado.
– En la segunda ventana Certificado, vaya a la pestaña Detalles y seleccione ‘Copiar a archivo…’.
– Siga el Asistente de exportación de certificados para exportar el certificado a la estación de trabajo en formato «X.509 binario codificado DER (.CER)».
Firefox.
– Seleccione el ícono de candado a la izquierda de la URL HTTPS y luego seleccione Conexión segura -> Más información .
– Seleccione el botón Ver certificado a la derecha.
– Seleccione la pestaña Detalles en el Visor de certificados.
– Seleccione el certificado superior y seleccione ‘Exportar…’.
3) En FortiGate, realice estos pasos:
– Vaya a Sistema > Certificados y seleccione Importar -> Certificado CA.
– Seleccione Archivo, seleccione el certificado CA raíz de Entrust no válido descargado del sitio afectado y seleccione ‘Aceptar’.
– Observe que el certificado de CA raíz de Entrust no válido agregado aparece en la sección Certificados de CA externos de la página Certificados.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!