Mục đích tài liệu
“Hướng dẫn xử lý sự cố liên quan đến việc AddTrust External root CA hết hạn dẫn đến việc không thể kết nối đến một số websites” được sử dụng trong việc troubleshoot nhằm:
- Cung cấp thông tin cho người quản trị về hiện tượng một số websites không truy cập được do AddTrust External root CA hết hạn.
- Hướng dẫn người quản trị cách thức xử lí sự cố liên quan đến việc không thể kết nối đến một số websites do AddTrust External root CA hết hạn.
Nội dung tài liệu
Tài liệu gồm 2 phần chính:
- Mô tả tình trạng một số websites bỗng dưng không truy cập được.
- Nguyên nhân và các phương án workaround để xử lí sự cố kết nối đến các websites.
Đối tượng tài liệu
Đối tượng sử dụng tài liệu là người quản trị thiết bị tường lửa FortiGate.
A. Mô tả tình trạng
Các trang web và tài nguyên sử dụng AddTrust External CA bị chặn bởi FortiGate khi bật kiểm tra SSL (SSL inspection). Các triệu chứng bắt đầu hoặc xảy ra sau ngày 30 tháng 5 năm 2020 khi chứng chỉ CA hết hạn. Lưu ý rằng vấn đề này không phải do bất kỳ một nhà cung cấp (vendor) nào; đây là kết quả của việc một root CA hết hạn.
Certificate error mẫu:
B. Nguyên nhân và giải pháp
1. Nguyên nhân
AddTrust External CA và các CA đã được ký chéo bởi AddTrust External Root CA đã hết hạn vào ngày 30 tháng 5 năm 2020
Các web server đang sử dụng chứng chỉ được ký bởi các CA này cũng sẽ bao gồm các CA hết hạn - một phần của chuỗi certificate cung cấp cho khách hàng
FortiGate từ chối kết nối vì chuỗi tin cậy (trust chain) không hợp lệ; Các CA được tìm thấy đã hết hạn và hiển thị trang block (phụ thuộc vào cấu hình)
Ta có thể check certificate ở các trang sau:
https://www.sslshopper.com/ssl-checker.html
2. Các phương án workaround
Lưu ý: Backup toàn bộ cấu hình trước khi thực hiện thay đổi. Ta nên thực hiện sau giờ làm việc hoặc thực hiện trên máy tính thử nghiệm.
Phương án 1: Chuyển những policy đang bị ảnh hưởng sang flow-based
Đây là phương án khả thi nếu cấu hình thiết bị của ta có ít chính sách áp dụng web filtering profile và certificate inspection.
Lưu ý: deep inspection với flow-based inspection vẫn có thể gặp lỗi trên.
Chọn Policy & Objects > IPv4 Policy:
Tuỳ chỉnh policy đang bị ảnh hưởng. “Inspection Mode” chọn Flow-based và nhấn OK.
Thực hiện lặp lại cho các firewall policy bị ảnh hưởng còn lại.
Người dùng có thể kiểm tra bằng cách mở tab trình duyệt mới và thử truy cập lại trang web ban đầu bị chặn.
Phương án 2: Các trang web bị ảnh hưởng bởi SSL decrytion sẽ được miễn trừ bằng chính sách “bypass”
Tạo policy “bypass” nằm phía trên tất cả các policy hiện có để policy này được thực hiện trước tiên.
Policy này có phần Destination là các trang web đang gặp vấn đề dưới dạng FQDN.
Định kỳ kiểm tra các trang web trên và xóa khỏi chính sách “bypass” vì chuỗi certificate (certificate chains) được cập nhật theo thời gian.
Đây là một giải pháp phù hợp nếu chỉ một vài trang web mà người dùng truy cập đến bị ảnh hưởng.
Phương án 3: Cho phép chứng chỉ không hợp lệ trong hồ sơ SSL / SSH inspection đang sử dụng
Giải pháp này thích hợp nhất với hệ thống có nhiều policy áp dụng web filtering và deep inspection.
Ta chọn Security Profiles > SSL/SSH Inspection > chỉnh sửa profile đang được sử dụng trên các policy. (Cột ‘Ref’ sẽ là 1 hoặc nhiều hơn cho biết bao nhiêu policy đang được tham chiếu).
Cuộn xuống phía dưới và bật tính năng “Allow invalid SSL certificates”. Mặc định tính năng này bị tắt.
Nhấn OK.
Người dùng có thể kiểm tra bằng cách mở tab trình duyệt mới và thử truy cập lại trang web ban đầu bị chặn.
C. Tài liệu tham khảo
https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD49028