Últimamente estamos teniendo algunos problemas con ciertas Webs (lo de siempre, en vez de cambiar el certificado … lo trampeamos desde dentro). El caso es que al firewall no le hace mucha gracia los protocolos de cifrado «llamemosles antiguos».
El caso (y el problema) es que a veces basta con hacer un bypass … pero otras no (y es lo que me escama).
Application & URL filtering -> Policy -> y creas un grupo de «Applications/Sites» con tus URLS con Action ALLOW.
Después
Application & URL filtering -> Advanced -> https inspection -> policy y creas una regla con «destination» tus URLS y action «Bypass».
Y así suelen funcionar … pero esto no es el camino …
Abrí un ticket y me dirigieron al caso sk110883 (porque una de las webs que fallaban tenia un certificado de ese tipo).
Cambie las claves …
[Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_ACCEPT_ECDHE 1[Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_PROPOSE_ECDHE 1 [Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_ACCEPT_ECDSA 1
[Expert@HostName]# ckp_regedit -a SOFTWARE//CheckPoint//FW1 CPTLS_PROPOSE_ECDSA 1
Y después de un fwstop y fwstart la cosa seguía igual … fallaban. Hablando con el soporte … me ofrecieron otra posibilidad (que estamos valorando) … ademas de la mas obvia … actualizar a la 88.10.
Aumentar la «mínima» versión de la negociación SSL a TLS1.0 (haciendo que el obsoleto SSL se vaya a hacer puñetas).
Para hacerlo … abrir el GuiDBedit.
Other -> ssl_inspection -> general_confs_obj -> cambiar ssl_min a TLS1.0.
Abrir el SmartDashboard -> install database y despues install policy en todos los nodos.
Y ahora la pregunta del siglo … ¿Cuantas webs siguen usando cifrados obsoletos?, a saber … asi que … no se si merece la pena tocar esto (de momento solo tenemos 5 raras) … habrá que tenerlo en mente … pero no se yo …