iT邦幫忙

1

Fortinet SSL 認証過期

大家好
小弟公司是用Fortigate 60F的, 現在去那個website都出現SSL certificate expired.可以怎解決?
https://ithelp.ithome.com.tw/upload/images/20211027/20143470rH1RRhzwLo.jpg

1
sd3388
iT邦新手 4 級 ‧ 2021-10-27 12:44:14
最佳解答

這個應該是那個網站的憑證過期吧
FGT只是盡到提醒你的功能
不喜歡就另設一條政策把這個網站放過資安檢核
如果真的是非用不可
想設Allow invalid SSL certificates風險就自己負擔嘍

raytracy iT邦大神 1 級 ‧ 2021-10-28 01:01:51 檢舉

根據樓主提供的圖片,
那個網站的憑證要到 2022/1/22 才過期;

所以原因不可能是: 對方的憑證過期 這麼簡單...

sd3388 iT邦新手 4 級 ‧ 2021-10-28 02:26:41 檢舉

raytracy大大的意見不能不重視
所以做了兩台FGT的測試(629與最新702)
結果629會過,最新的702不能過
前者設了Allow invalid SSL certificates
後者則是用default SSL及 Proxy-based 的 pocicy

測第二次的時候,用702測試
將R大的blog與kb方法用上(特別有清cache)
但是結果依然不能通過

測第三次,改回702原來default設定
但這次policy改用 Flow-based
結果是可以正常開啟網頁

綜上,小弟的看法如下:

  1. FGT的Proxy-based應該會將封包置換成自己的表頭
  2. 所以憑證有效日期猜想是指FGT的時間而不是網站憑證
  3. 該網站推論還是憑證過期未更新
  4. 採Flow-based其實不會帶FGT的封包去驗憑證
  5. 或許改用Flow-based的政策可以是另一種解法

以上如有顧慮不周還請指教

1
vit5015
iT邦新手 3 級 ‧ 2021-10-27 12:33:16

我之前遇到是把SSL\SSH Inspection Options裡的Allow invalid SSL certificates 啟用。
但這不是完美作法,僅供參考。

2
raytracy
iT邦大神 1 級 ‧ 2021-10-27 15:08:11

你看一下會出事的網站, 是否都是向 Let's Encrypt 申請 SSL 憑證?
(憑證路徑是從 X3->R3 root CA 發下來的)
而且這些網站以前都是好的, 是從今年 9/30 之後才開始壞掉?

如果以上都是的話, 代表 Fortigate 裡面有一張過期的 root CA 要換掉..

原因:
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates

解法:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305

我要發表回答

立即登入回答