大家好
小弟公司是用Fortigate 60F的, 現在去那個website都出現SSL certificate expired.可以怎解決?
已邀請的邦友 {{ invite_list.length }}/5
這個應該是那個網站的憑證過期吧
FGT只是盡到提醒你的功能
不喜歡就另設一條政策把這個網站放過資安檢核
如果真的是非用不可
想設Allow invalid SSL certificates風險就自己負擔嘍
根據樓主提供的圖片,
那個網站的憑證要到 2022/1/22 才過期;
所以原因不可能是: 對方的憑證過期 這麼簡單...
raytracy大大的意見不能不重視
所以做了兩台FGT的測試(629與最新702)
結果629會過,最新的702不能過
前者設了Allow invalid SSL certificates
後者則是用default SSL及 Proxy-based 的 pocicy
測第二次的時候,用702測試
將R大的blog與kb方法用上(特別有清cache)
但是結果依然不能通過
測第三次,改回702原來default設定
但這次policy改用 Flow-based
結果是可以正常開啟網頁
綜上,小弟的看法如下:
我之前遇到是把SSL\SSH Inspection Options裡的Allow invalid SSL certificates 啟用。
但這不是完美作法,僅供參考。
你看一下會出事的網站, 是否都是向 Let's Encrypt 申請 SSL 憑證?
(憑證路徑是從 X3->R3 root CA 發下來的)
而且這些網站以前都是好的, 是從今年 9/30 之後才開始壞掉?
如果以上都是的話, 代表 Fortigate 裡面有一張過期的 root CA 要換掉..
原因:
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
解法:
https://kb.fortinet.com/kb/documentLink.do?externalID=FD53305
iThome鐵人賽
看影片追技術