TLS 1.3 hybridized Kyber supportが有効化されているブラウザでの通信でSSL復号化機能が動作しないことがある事象について

Flexible Secure Gateway, FSG

2024年8月1日 (2024年8月2日:更新)

事象

  • Edge, Google Chromeといった「TLS 1.3 hybridized Kyber support」が有効化されることになったブラウザを利用している場合、SSL復号が動作しないことがある
  • 2024/4/22にChrome および Edge ブラウザで提供された最新バージョン (Chrome v124.0.6367.61 および Edge v124.0.2478.51) で、当該機能がデフォルトで有効になる(参考:リンク
  • 当該機能が有効化されていると、サーバ側(SSL復号時にサーバとして振る舞うPAVM)がこの機能でクライアントによって送られてくるSSL/TLS Helloパケットが肥大化し、分割して送信されることでPaloが処理しきれず、WebブラウザとPaloalto間でSSL/TLSセッションを構築出来ないことがある

影響があるユーザ

「SSL復号機能」を利用中かつ「TLS 1.3 hybridized Kyber support」が有効化されているブラウザを利用中のユーザ
(FSGでは、デフォルトでSSL復号機能が有効かされています)

影響内容

  • SSL復号対象の暗号化通信に対して、UTM機能(URLフィルタリング/アンチウイルス/アンチスパイウェア/脆弱性防御)が動作しないことがある。
  • SSL復号対象のURLに関するログが記録されないことがある。

回避策

Microsoft Edge

  • アドレスバーに「edge://flags/#enable-tls13-kyber」を入力し押下。
  • 「TLS 1.3 hybridized Kyber support」の設定を「Disabled」に設定。
  • 右下に表示される「再起動」をクリック。

Chrome

  • アドレスバーに「chrome://flags/#enable-tls13-kyber」を入力し押下。
  • 「TLS 1.3 hybridized Kyber support」の設定を「Disabled」に設定。
  • 右下に表示される「Relaunch」をクリック。

関連するページ

2024年8月1日

TLS 1.3 hybridized Kyber supportが有効化されているブラウザでの通信でSSL復号化機能が動作しないことがある事象について

Flexible Internet Gateway

2024年8月2日

TLS 1.3 hybridized Kyber supportが有効化されているブラウザでの通信でSSL復号化機能が動作しないことがある事象について

Flexible Remote Access

2023年5月30日

URLフィルタリング機能でブロック設定をしても、ブラウザにブロック表示ではなく、ブラウザエラー(ERR_CONNECTION_RESET)が表示されます。理由を教えてください。

FSG, 仕様

2022年2月10日

オフィシャルイメージテンプレート vSphere ESXi 6.0およびゲストイメージ vCenter Server 6.0の新規販売終了およびサポート終了について

クラウド/サーバー