Este artículo aborda el error «La conexión SSL está bloqueada debido a que no se puede recuperar el certificado del servidor» que los usuarios experimentan tras la actualización a las versiones v7.4.5 o v7.2.11 de FortiGate. Este problema resulta crítico, ya que afecta la validación de certificados SSL para ciertos dominios y puede interrumpir el tráfico HTTPS. A continuación, se ofrece un análisis detallado del problema, sus efectos y las soluciones recomendadas para resolverlo.
Índice
Descripción del problema
Después de la actualización a v7.4.5 o v7.2.11, se puede presentar el error mencionado en los eventos de seguridad. Este error indica un problema en la validación del certificado SSL para los dominios afectados, impidiendo la conexión segura y funcionalidad de los servicios dependientes del HTTPS.
Alcance
Este artículo se aplica a dispositivos FortiGate que han sido actualizados a las versiones v7.4.5 o v7.2.11.
Diagnóstico paso a paso
Para diagnosticar el problema, los usuarios deben verificar si el error se muestra en los registros de eventos de SSL y asegurar que se han realizado las actualizaciones de software correspondientes. Adicionalmente, se debe revisar la configuración del perfil SSL-SSH para detectar errores en la acción del comando ‘set cert-probe-failure’.
Solución recomendada
Solución 1: Para evitar este problema, se debe cambiar la acción del comando ‘set cert-probe-failure’ de bloqueado a permitido. Para ello, ejecute los siguientes comandos:
config firewall ssl-ssh-profile
edit "perfil_nombre"
config https
set cert-probe-failure allow
end
end
Nota: Si está habilitada la inspección de todos los puertos, el comando ‘set cert-probe-failure’ no estará disponible. En este caso, desactive la inspección para que el comando sea visible.
Comandos CLI utilizados
Los siguientes comandos son esenciales para modificar el comportamiento del firewall en relación a la validación de certificados SSL:
config firewall ssl-ssh-profile: Inicia la configuración del perfil de inspección SSL/SSH.edit "perfil_nombre": Modifica el perfil de inspección configurado.config https: Ajusta los parámetros relacionados con el protocolo HTTPS.set cert-probe-failure allow: Cambia el comportamiento del firewall para permitir el tráfico en caso de que falle la pre-inspección.end: Finaliza la configuración actual.
Buenas prácticas y recomendaciones
Para evitar este tipo de problemas en el futuro, es recomendable:
- Realizar copias de seguridad de la configuración antes de cualquier actualización de firmware.
- Probar los cambios en un entorno controlado antes de implementarlos en producción.
- Mantenerse al día con las notas de lanzamiento de FortiOS para conocer las novedades y cambios en la funcionalidad.
Notas adicionales
Para configurar varias unidades de FortiGate a través de FortiManager, siga estos pasos:
- Seleccione Política y Objetos.
- Seleccione Avanzado.
- Seleccione Configuraciones CLI.
- Navegue al perfil SSL-SSH.
- Elija el perfil de Inspección de Certificados clonado (asegúrese de que se seleccione un perfil que no sea de solo lectura).
- Bajo SSL, configure
cert-probe-failurea Permitir.
Solución 2: Para corregir este problema, clone la inspección del certificado SSL y desactive el ‘Server Name Indication (SNI)’ para la nueva inspección de certificados SSL. Configure esta nueva inspección en la política de firewall:
config firewall ssl-ssh-profile
edit "Clone of certificate-inspection"
config https
set ports 443
set status certificate-inspection
set quic bypass
set sni-server-cert-check disable
end
end
Solución 3: Corrija el enrutamiento del tráfico de la inspección de certificados, es decir, el tráfico local de FortiGate, tal como se describe en la .
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!