Publicado el por

Conexión invalida certificado SSL Fortigate

Fortigate no permite conectar a sitios web

Descripción:

Fortigate bloquea los sitios web y los recursos que utilizan los certificados CA externos cuando se habilita la inspección SSL. Los síntomas comenzaron a ocurrir después del 30 de mayo de 2020 cuando expiraron los certificados de CA. Hay que tener en cuenta que este problema no es específico de ningún proveedor; más bien es una consecuencia esperada de un certificado CA raíz que expira.

El error que muestra del certificado (puede cambiar según la versión del navegador):

Solución:

Requisitos:

  • La inspección SSL profunda o la inspección de certificados está habilitada
  • Perfiles web, de correo electrónico, AV y / o DLP con inspección proxy habilitada y aplicada a una política de firewall

Causa del error:

  • Los certificados CA externos que fueron firmadas por la entidad certificadora CA de raíz externa expiraron el 30 de mayo de 2020
  • Algunos servidores web que utilizan certificados firmados por estas CA todavía incluyen las CA caducadas como parte de la cadena de certificación suministrada al cliente
  • FortiGate rechaza la conexión ya que la cadena de confianza no es válida; Se encuentra que los certificados CA están vencidos y muestra la página de bloqueo (depende de la configuración)

Opciones de solución alternativa:

Realice siempre una copia de seguridad de la configuración completa del sistema antes de realizar cualquier cambio de configuración. Se recomienda una ventana de mantenimiento o aislar los cambios en una estación de trabajo de prueba.

Solución 1: cambie la política de firewall afectada a Inspection Mode (Flow-based).

  • Es una buena opción si su configuración tiene políticas de firewall con filtrado web e inspección de certificados.

Nota: la inspección profunda o inspección basada en flujo aún puede encontrar el problema.

Navegue a Política y objetos -> Política IPv4:

Política y objetos

Edite la política de firewall en cuestión. Para el » Inspection Mode», seleccione Flow-based y seleccione ‘Aceptar’.

Opción Flow-based

Repita esto para las demás políticas de firewall afectadas.

Los usuarios pueden probar abriendo una nueva pestaña del navegador e intentando visitar el sitio en que genera el error.

Solución 2: sitios exentos que todavía están afectados por el descifrado SSL mediante el uso de una política de omisión de firewall.

Cree una política de “exclusión” sobre las políticas de firewall existentes para que surta efecto primero (primera posición). Coloque los destinos a los sitios web problemáticos como objetos FQDN. Revise periódicamente los sitios web y elimínelos de la política de omisión a medida que las cadenas de certificados se actualicen con el tiempo.

Objeto FQDN

Objeto FQDN

Política origen y destino (LAN A SD-WAN)

Política Firewall

Una buena opción si solo unos pocos sitios a los que acceden los usuarios se ven afectados.

Solución 3: permita el uso de certificados no válidos en el perfil de inspección SSL / SSH.

Un buen enfoque si tiene muchas políticas de firewall con filtrado web e inspección profunda.

Vaya a Perfiles de seguridad -> Inspección SSL / SSH y edite el perfil que se está utilizando en las políticas problemáticas del firewall (la columna «Ref.» Será un 1 o superior que indica que se hace referencia).

Desplácese hasta la parte inferior y asegúrese de que ‘Permitir certificados SSL no válidos’ esté activado. No está habilitado por defecto.

Nota: si no permite la activación o guardado de los cambios de esta opción puede clonar el SSL/SSH Inspection Profile y modificar y utilizar el objeto clonado.

SSL/SSH Inspection Profile

Selecciona ‘Aceptar’.

Los usuarios pueden probar abriendo una nueva pestaña del navegador e intentando visitar el sitio en cuestión.

Nota:

FortiOS 6.0.x, 6.2.x, 6.4.x deberían recuperar automáticamente un paquete de certificados actualizado a través de FortiGuard. Esto aliviará algunos casos presentados, sin embargo, la mayoría de los casos serán resueltos por los administradores del sitio web corrigiendo sus cadenas de certificados inválidas.
Para verificar si el nuevo paquete de certificados está presente, ejecute ‘get system auto-update versions’ y verifique la línea de versión ‘Certificate Bundle’.
Si se ha instalado el nuevo paquete, debe ser la versión 1.00017 o superior.

get system auto-update versions

Certificate Bundle

Version: 1.00017
Contract Expiry Date: n/a
Last Updated using scheduled update on Wed Jun 3 12:05:10 2020
Last Update Attempt: Wed Jun 3 14:04:36 2020
Result: No Updates
If the bundle is not 1.00017+ then run ‘execute update-now’ and check the bundle version again after 20 minutes.

Conoce nuestro catalogo de productos Fortigate

Sitio oficial del fabricante
https://kb.fortinet.com/kb/documentLink.do?externalID=FD49028