Advertencia de certificado no confiable en fortigate para sitios HTTPS que usan certificados de servidor Entrust

Descripción
Este artículo describe cómo solucionar la advertencia de certificado no confiable que se observa en el navegador al visitar algunos sitios web HTTPS, cuando FortiGate está configurado en modo proxy y se ha habilitado un perfil de inspección profunda SSL en una política de firewall.

Este es un problema conocido que ocurre con algunos de los sitios web HTTPS que usan un certificado de servidor emitido por Entrust.

Síntomas.

Cuando FortiGate no puede autenticar con éxito el certificado del servidor (es decir, CA raíz no confiable, certificado autofirmado caducado), presentará el certificado de CA configurado a través de set untrusted-caname en el perfil de inspección SSL (nombre de certificado de CA predeterminado: Fortinet_CA_Untrusted ).


 
 
En algunos casos, los sitios web HTTPS que utilizan certificados de servidor emitidos por Entrust encontrarán una advertencia de CA raíz que no es de confianza porque el certificado de CA raíz de Entrust especificado en la cadena de confianza del certificado del servidor no está en la lista de CA de confianza de FortiGate (consulte Perfiles de seguridad -> Inspección de SSL/SSH -> Ver la lista de CA de confianza ).
 
Explicación.
 
El problema es que el certificado del servidor del sitio HTTP fue emitido por una CA intermedia asociada con un certificado de CA raíz de Entrust específico que se consideró no válido debido a una propiedad de certificado no válida. Dado que este certificado de CA raíz de Entrust no es válido, no todos los navegadores confían en él.
 
Este problema se puede confirmar mediante el uso de la URL del sitio HTTPS afectado con un sitio web de verificación SSL en línea como SSL Labs’ SSL Server Test ( https://www.ssllabs.com/ssltest/ ) o SSL Shopper’s SSL Checker ( https:/ /www.sslshopper.com/ssl-checker.html ), y observar el resultado del verificador de que la cadena de certificados está incompleta o que el certificado no es de confianza en todos los navegadores.

Solución
La solución a este problema es que el administrador del sitio web elimine el certificado de CA raíz de Entrust no válido del servidor web y lo reemplace con un certificado de CA raíz de Entrust válido, o llame a Entrust para obtener más ayuda.

Artículos relacionados  Consejo para la resolución de problemas: Fallo de vecindad EBGP con IP de bucle de retorno

En FortiGate, la solución es descargar el certificado de CA raíz de Entrust no válido del sitio web afectado a través de un navegador web y luego agregarlo a la lista de CA de confianza de FortiGate.

Nota IMPORTANTE.
Esta solución debe considerarse una solución a corto plazo antes de que el administrador del sitio web implemente la solución anterior por su parte.

La solución alternativa se implementa de la siguiente manera:

1) Desde una estación de trabajo detrás de FortiGate con la inspección profunda de SSL habilitada, visite el sitio web afectado.
2) Desde un navegador web, descargue el certificado de CA raíz de Entrust no válido del sitio web afectado de la siguiente manera:

Chrome/Internet Explorer.

– Desde el navegador, vea el certificado dentro de la ventana de certificados de Windows:
Chrome : seleccione el ícono de candado a la izquierda de la URL HTTPS y luego seleccione ‘Certificado’.
Internet Explorer : seleccione el icono de candado a la derecha de la barra de direcciones y luego seleccione ‘Ver certificados’.

– Desde la ventana Certificado, vaya a la pestaña Ruta de certificación.
– Seleccione el certificado superior y haga clic en Ver certificado.
– En la segunda ventana Certificado, vaya a la pestaña Detalles y seleccione ‘Copiar a archivo…’.
– Siga el Asistente de exportación de certificados para exportar el certificado a la estación de trabajo en formato «X.509 binario codificado DER (.CER)».

Firefox.

– Seleccione el ícono de candado a la izquierda de la URL HTTPS y luego seleccione Conexión segura -> Más información .
– Seleccione el botón Ver certificado a la derecha.
– Seleccione la pestaña Detalles en el Visor de certificados.
– Seleccione el certificado superior y seleccione ‘Exportar…’.

Artículos relacionados  Sugerencia técnica: Repetición de IKE e IPSec SA para túneles de acceso directo ADVPN para IKEv1 e IKEv2

3) En FortiGate, realice estos pasos:

– Vaya a Sistema > Certificados y seleccione Importar -> Certificado CA.
– Seleccione Archivo, seleccione el certificado CA raíz de Entrust no válido descargado del sitio afectado y seleccione ‘Aceptar’.
– Observe que el certificado de CA raíz de Entrust no válido agregado aparece en la sección Certificados de CA externos de la página Certificados.

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *