Fireware 12.5 – Probleme mit HTTPS-Proxy nach Upgrade

Nach dem Upgrade auf 12.5 ist es unter bestimmten Umständen möglich, dass der HTTPS-Proxy nicht mehr sauber funktioniert. Voraussetzungen und Workaround:

Diese Woche bei zwei Kunden aufgetreten: 

  • Upgrade von einer relativ alten Version (hier 12.0.1 bzw. 12.1) auf aktuelles Release (hier 12.5 oder 12.5.1)
  • HTTPS-Traffic nach außen hat nicht mehr funktoiniert.
  • Fehlermeldung im Traffic Monitor “B-Channel connect failed” (oder so ähnlich, ich habe leider keinen Screenshot).

Abhilfe:

  • HTTPS-Proxy-Policy editieren
  • HTTPS-Proxy-Action editieren
  • TLS-Profil editieren
  • dort etwas ändern (z.B. ein Toggle des [ ] allow only TLS Compliant traffic)
  • speichern und testen

nun sollte wieder alles funktionieren.

  • nun die Änderung wieder rückgängig machen
  • speichern und testen

auch jetzt sollte wieder alles funktionieren.

ich persönlich vermute als Ursache eine Änderung im TLS-Profil – in den alten 12.0/12.1 Releases war beispielsweise noch SSLv3 als Minumum Version erlaubt, inzwischen ist dort TLS1.0 die minimale Version.

Wenn dies so wäre, könnte bei Upgrades der jeweiligen Zwischenreleases (12.0 => 12.1 => 12.2 => 12.3 => 12.4 => 12.5) dieser Fall entsprechend abgefangen worden sein; bei dem großen Sprung von 12.0 nach 12.5.x (immerhin knapp 2 Jahre!) könnte sich hier ein rare Case eingeschlichen haben. Dies würde erklären, warum dieser Fall in meinem Home-Office nicht aufgetreten ist, da ich hier nahezu alle Zwischenreleases aufgrund der Teilnahme an den Beta-Tests installiere und damit nur die inkrementellen Änderungen zur jeweiligen Vor-Version ins Gewicht fallen.

Immerhin ist die ganze SSL/TLS-Thematik während der letzten zwei Jahre durchgängig im Flow – hier kommen mit jedem Subrelease Änderungen in die Fireware. Das müssen sie auch, denn gerade TLS verändert sich ebenfalls ständig. Stichworte: Entfall von SSLv2, SSLv3. Hinzufügen von TLS 1.3, ECDHE-Ciphers, um nur einige zu nennen. (Gerade diskutieren Mozilla und Google, ob und wann in Firefox und Chrome der TLS-1.0 Support gestrichen wird…).

 

Leave a Reply

Your email address will not be published. Required fields are marked *