Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Certificados SSL

O firewall da Série SRX atuando como proxy SSL gerencia conexões SSL entre o cliente em uma extremidade e o servidor na outra extremidade. O servidor proxy SSL garante a transmissão segura de dados com tecnologia de criptografia. A SSL conta com certificados e pares de troca de chaves públicos privados para fornecer a comunicação segura. Neste tópico, você aprende sobre como gerar e instalar certificado SSL em seu dispositivo de segurança para conexões SSL.

Configuração e carregamento de certificados SSL

A Figura 1 exibe uma visão geral de como o proxy SSL está configurado. A configuração do proxy SSL inclui:

  • Configurando o certificado de CA raiz

  • Carregando um grupo de perfil ca

  • Configure o perfil de proxy SSL e o certificado de CA raiz associado e o grupo de perfil ca

  • Aplicar um perfil de proxy SSL a uma política de segurança

Figura 1: Visão geral SSL Proxy Configuration Overview da configuração do proxy SSL

Vamos discutir esses procedimentos em detalhes nas seções a seguir:

Configuração de um certificado de CA raiz

Uma CA pode emitir vários certificados na forma de uma estrutura de árvore. Um certificado raiz é o certificado mais alto da árvore, da qual a chave privada é usada para sign outros certificados. Todos os certificados imediatamente abaixo do certificado raiz herdam a assinatura ou confiabilidade do certificado raiz. Isso é um pouco como a notarizing de uma identidade.

Para configurar um certificado de CA raiz, você deve

  1. Obtenção de um certificado de CA raiz (importando ou importando um)

    • Você pode gerar um certificado ca raiz usando o Junos OS CLI em um firewall da Série SRX.

    • Obtenha um certificado de um CA externo (não coberto neste tópico)

  2. Aplicando CA raiz a um perfil de proxy SSL.

Gere um certificado de CA raiz com CLI

Para definir um certificado auto-assinado na CLI, você deve fornecer os seguintes detalhes:

  • Identificador de certificado (gerado na etapa anterior)

  • Nome de domínio totalmente qualificado (FQDN) para o certificado

  • endereço de e-mail da entidade que possui o certificado

  • Nome comum e a organização envolvida

Gere um certificado ca raiz usando o Junos OS CLI:

  1. A partir do modo operacional, gere um par de chaves PKI público/privado para um certificado digital local.

    Exemplo:

  2. Defina um certificado auto-assinado.

    Exemplo:

    Ao configurar a opção add-ca-constraint , você garante que o certificado possa ser usado para assinar outros certificados.

  3. A partir do modo de configuração, aplique o certificado carregado como root-ca no perfil de proxy SSL.

    Exemplo:

  4. Importe o CA raiz como um CA confiável para navegadores clientes. Isso é necessário para que os navegadores clientes confiem nos certificados assinados pelo Firewall da Série SRX. Consulte a importação de um certificado de CA raiz em um navegador.

Configuração de um grupo de perfil de CA confiável

O perfil da CA define as informações do certificado para autenticação. Ele inclui a chave pública que o proxy SSL usa ao gerar um novo certificado. O Junos OS permite criar um grupo de perfis de CA e carregar vários certificados em uma ação, visualizar informações sobre todos os certificados em um grupo e excluir grupos de CA indesejados. Quando uma conexão é iniciada, o dispositivo de conexão (como um navegador da Web) verifica se o certificado é emitido por um CA confiável. Sem esses certificados, os navegadores não podem validar a identidade da maioria dos sites e marcá-los como sites não confiáveis.

Configurar um grupo de perfil de CA confiável inclui as seguintes etapas:

  • Obtendo uma lista de certificados de CA confiáveis. Você pode obter certificados de CA confiáveis usando um dos seguintes métodos:

    • O Junos OS fornece uma lista padrão de certificados CA confiáveis como um arquivo PEM (por exemplo, trusted_CA.pem). Depois de baixar o pacote Junos OS, os certificados padrão estão disponíveis em seu sistema.

      Do modo operacional, carregue os certificados CA confiáveis padrão (o nome do grupo identifica o grupo de perfil ca):

      Exemplo:

      Recomendamos o uso deste método.

    • Defina sua própria lista de certificados de CA confiáveis e os importe em seu sistema. Você obtém a lista de CAs confiáveis em um único arquivo PEM (por exemplo , IE-all.pem) e salva o arquivo PEM em um local específico (por exemplo, /var/tmp). Veja o artigo da base de conhecimento KB23144.

      Desde o modo operacional, carregue a lista confiável até o dispositivo (o nome do grupo identifica o grupo de perfil ca):

      Exemplo:

    • Baixe a lista de pacotes ca mais recentes de outras terceiros, como Mozilla (https://curl.haxx.se/docs/caextract.html). A lista de autoridades de certificado confiáveis pode mudar ao longo do tempo, garantir que você use o mais recente pacote de CA.

    • Importe seus próprios certificados de CA confiáveis usando a infraestrutura de chave pública (PKI). O PKI ajuda a verificar e autenticar a validade dos certificados de CA confiáveis. Você cria grupos de perfil de CA que incluem certificados de CA confiáveis e depois importa o grupo em seu dispositivo para autenticação de servidor.

  • Anexando o grupo CA ao perfil de proxy SSL.

    • Anexe todos os grupos de perfil da CA:

      Exemplo:

    • Anexe um grupo de perfil ca (o nome do grupo identifica o grupo de perfil ca).

      Exemplo:

Você pode exibir facilmente informações sobre todos os certificados em um grupo de perfil da CA:

Você pode excluir um grupo de perfil da CA. Lembre-se que excluir um grupo de perfil da CA exclui todos os certificados que pertencem a esse grupo:

O que vem a seguir

Agora, prossiga com a configuração do perfil de proxy SSL e aplique o perfil de proxy SSL à política de segurança. Veja a configuração do proxy SSL.

Importando um certificado de CA raiz em um navegador

Para que seu navegador ou sistema confie automaticamente em todos os certificados assinados pelo CA raiz configurados no perfil de proxy SSL, você deve instruir sua plataforma ou navegador a confiar no certificado raiz do CA.

Para importar um certificado de CA raiz:

  1. Gere um arquivo de formato PEM para o CA raiz configurado.
  2. Importe um certificado CA raiz para um navegador.

    Do Internet Explorer (versão 8.0):

    1. No menu Ferramentas, selecione Opções de Internet.
    2. Na guia Conteúdo, clique em Certificados.
    3. Selecione a guia Autoridades confiáveis de certificação raiz e clique em Importar.
    4. No Assistente de Importação de Certificados, navegue até o certificado de CA raiz necessário e selecione-o.

    Do Firefox (versão 39.0):

    1. No menu Ferramentas, selecione Opções.
    2. No menu Advanced, selecione a guia Certificados e clique em Certificado de visualização.
    3. Na janela do Gerenciador de Certificados, selecione a guia Autoridades e clique em Importar.
    4. Navegue até o certificado de CA raiz necessário e selecione-o.

    Do Google Chrome (45.0):

    1. No menu Configurações, selecione Mostrar configurações avançadas.
    2. No menu Advanced, selecione a guia Certificados e clique em Certificado de visualização.
    3. Em HTTPS/SSL, clique em Gerenciar Certificados.
    4. Na janela do Certificado, selecione Autoridades confiáveis de certificação raiz e clique em Importar.
    5. No Assistente de Importação de Certificados, navegue até o certificado de CA raiz necessário e selecione-o.

Implementação da cadeia de certificados

A partir do Junos OS Release 15.1X49-D30, o proxy de encaminhamento SSL oferece suporte à implementação da cadeia de certificados. Vamos discutir sobre a compreensão dos conceitos da cadeia de certificados e como configurá-los no Firewall da Série SRX.

  • Certificate Authority (CA)— a CA é um terceiro confiável responsável por validar as identidades de entidades (como sites, endereços de e-mail ou empresas ou pessoas individuais) e emite um certificado digital vinculando chaves criptográficas. Se sua organização possui um servidor CA, você se tornará seu próprio CA e usará um certificado autografado.

  • Root Certificate— Um certificado Root é um certificado emitido por uma autoridade de certificado confiável (CA). O certificado raiz é o certificado mais alto da árvore, da qual a chave privada é usada para assinar outros certificados. Todos os certificados imediatamente abaixo do certificado raiz herdam a assinatura ou confiabilidade do certificado raiz. Esses certificados são usados para estabelecer conexão entre dois endpoints.

  • Intermediate CA Certificate— Um certificado de CA intermediário é um certificado subordinado assinado pela raiz confiável especificamente para validar certificados de entidades finais.

  • Certificate Chain - Uma cadeia de certificados é a lista ordenada de certificados que contém o certificado SSL, certificado intermediário e certificado raiz. Algumas autoridades de certificado (CAs) não assinam com seu certificado raiz, mas usam um certificado intermediário. Um CA intermediário pode assinar certificados em nome do certificado de CA raiz. O CA raiz assina o certificado intermediário, formando uma cadeia de confiança.

    O certificado intermediário deve ser instalado no mesmo servidor que o certificado SSL para que o dispositivo de conexão (navegadores, aplicativos, dispositivos móveis etc.) possa confiar nele.

Quando você inicia uma conexão, o dispositivo de conexão (como um navegador da Web) verifica se o certificado é autêntico e é emitido por uma autoridade de certificado confiável incorporada na loja confiável do navegador.

Se o certificado SSL não for de um CA confiável, o dispositivo de conexão continua a verificar se o certificado SSL é emitido por um CA intermediário e este CA intermediário é assinado por um CA raiz. A verificação continua até que o CA raiz seja encontrado. Se encontrar um CA raiz, uma conexão segura será estabelecida. Se ele não encontrar um CA raiz, a conexão será lançada, e seu navegador da Web exibirá uma mensagem de erro sobre certificado inválido ou certificado não confiável.

Este exemplo mostra como instalar a cadeia de certificados para permitir que os navegadores confiem em seu certificado.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Neste exemplo, você tem um domínio, exemplo.domain-1, e deseja comprar um certificado da XYZ-Authority para o seu domínio. No entanto, a XYZ-Authority não é um Root-CA e o navegador web visitante confia apenas no certificado Root-CA. Em outras palavras, seu certificado não está diretamente incorporado em seu navegador da Web e, portanto, não é explicitamente confiável.

Nesse caso, a confiança é estabelecida da seguinte maneira usando a cadeia de certificados (de certificados intermediários).

Topologia

Vamos tentar visualizar essa cadeia através da Figura 2. A imagem mostra uma cadeia completa de certificados, desde o certificado de CA raiz até o certificado do usuário final. A cadeia termina com o certificado do usuário final.

Figura 2: Caminho de certificação do proprietário do certificado até o CA Certification Path from the Certificate Owner to the Root CA raiz
Tabela 1: Detalhes do encadeamento de certificados

Usuário

Certificado de uso

Assinado por

Tipo

exemplo.domain-1

Certificado de usuário final

XYZ-Authority

Certificado de usuário final. Aquele que você compra do CA.

XYZ-Authority

Certificado-1

CA-1 intermediário

Certificado intermediário

CA-1 intermediário

Certificado-2

CA-2 intermediário

Certificado intermediário

CA-2 intermediário

Certificado-3

CA-3 intermediário

Certificado intermediário

CA-3 intermediário

Certificado-4

autoridade de exemplo raiz. Este é um CA raiz.

Certificado Root

Seu certificado está diretamente incorporado em seu navegador da Web; portanto, pode ser explicitamente confiável.

Ao instalar seu certificado de usuário final para o exemplo do servidor.domain-1, você deve empacotar todos os certificados intermediários e instalá-los junto com seu certificado de usuário final. A cadeia de certificados inclui todos os certificados que partem do Certificado 1 ao certificado Root-CA. Como o navegador da Web confia no CA raiz, ele também confia implicitamente em todos os certificados intermediários. Se a cadeia de certificados SSL for inválida ou quebrada, seu certificado não será confiável por alguns dispositivos.

Nota:

  • Todos os certificados devem estar no formato De e-mail aprimorado para privacidade (PEM).

  • Quando você importa o arquivo de certificado concatenado para o dispositivo, o CA fornece um pacote de certificados encadeados que devem ser adicionados ao certificado de servidor assinado. O certificado do servidor deve comparecer perante os certificados encadeados no arquivo combinado.

Configuração

A configuração da cadeia de certificados SSL inclui as seguintes tarefas:

  • Compre um certificado SSL de um CA que inclua um certificado de assinatura e uma chave respectiva.

  • Configure um grupo de perfil de CA confiável.

  • Carregue o certificado de assinatura e a chave em seu dispositivo.

  • Carregue o CA intermediário e raiz na memória de infraestrutura de chave pública (PKI). Este arquivo de certificado contém todos os certificados de CA exigidos, um após o outro, em formato PEM.

  • Crie um perfil ca confiável para o certificado de CA intermediário ou raiz.

  • Configure seu dispositivo para usar o certificado de assinatura recebido do CA configurando e aplicando o perfil de proxy SSL a uma política de segurança. O proxy de encaminhamento SSL armazena essas informações da cadeia de certificados (nome do perfil do certificado CA) no respectivo perfil SSL. Como parte da implementação de políticas de segurança, são usados perfis de SSL com as informações da cadeia de certificados e certificados de CA.

Os seguintes componentes estão envolvidos no processamento da cadeia de certificados:

  • O administrador carrega a cadeia de certificados e o certificado local (certificado de assinatura) no cache do certificado de daemon PKI.

  • O Daemon de segurança de rede (nsd) envia uma solicitação ao daemon PKI para fornecer as informações da cadeia de certificados para um certificado de assinatura configurado no perfil de proxy SSL.

Este exemplo pressupõe que você já tenha comprado um certificado SSL de um CA.

Configurando a cadeia de certificados no dispositivo

Procedimento passo a passo

Para configurar a cadeia de certificados:

  • Carregue o certificado local na memória PKI.

    A mensagem a seguir é exibida:

    Observe que o ID do certificado será usado na root-ca seção do perfil de proxy SSL.

  • Carregue o certificado de CA intermediário ou raiz na memória PKI.

    O perfil da CA inclui as informações do certificado usadas para autenticação. Ele inclui a chave pública que o proxy SSL usa ao gerar um novo certificado.

    Este certificado será anexado como uma cadeia de certificados.

  • Conecte o grupo de perfil ca ao perfil de proxy SSL. Você pode anexar um CA confiável de cada vez ou carregar tudo em uma ação.

  • Aplique o certificado de assinatura como root-ca no perfil de proxy SSL.

  • Crie uma política de segurança e especifique os critérios de correspondência para a política. Como critérios de correspondência, especifique o tráfego para o qual você deseja habilitar o proxy SSL. Este exemplo pressupõe que você já criou zonas de segurança com base nos requisitos.

    O proxy de encaminhamento SSL armazena essas informações da cadeia de certificados (nome do perfil do certificado CA) em seu respectivo perfil SSL. Como parte da implementação de políticas de segurança, são usados perfis de SSL com as informações da cadeia de certificados e certificados de CA.

    Você pode ver a cadeia de certificados no navegador de conexão (ou seja, o cliente).

Veja também

Ignore a falha na autenticação do servidor

Autenticação de servidor

A confiança implícita entre o cliente e o dispositivo (porque o cliente aceita o certificado gerado pelo dispositivo) é um aspecto importante do proxy SSL. É extremamente importante que a autenticação do servidor não seja comprometida; no entanto, na realidade, certificados auto-assinados e certificados com anomalias estão em abundância. Anomalias podem incluir certificados expirados, instâncias de nome comum que não correspondem a um nome de domínio e assim por diante.

A autenticação do servidor é regida definindo a opção ignore-server-auth-failure no perfil de proxy SSL. Os resultados da configuração dessa opção estão disponíveis na Tabela 2.

Tabela 2: ignore a opção de falha na autenticação do servidor

Ação do perfil de proxy SSL

Resultados

A opção ignore-server-auth-failure não é definida (opção padrão)

  • Se a autenticação for bem-sucedida, um novo certificado é gerado substituindo as chaves e alterando o nome do emissor para o nome do emissor que está configurado no certificado ca raiz no perfil de proxy.

  • Se a autenticação falhar, a conexão cairá.

A opção ignore-server-auth-failure é definida

  • Se o certificado for auto-assinado, um novo certificado é gerado substituindo as chaves. O nome do emissor não foi alterado. Isso garante que o navegador do cliente exibe um aviso de que o certificado não é válido.

  • Se o certificado tiver expirado ou se o nome comum não coincidir com o nome do domínio, um novo certificado será gerado substituindo as chaves e alterando o nome do emissor para SSL-PROXY: DUMMY_CERT:GERADO DEVIDO À FALHA DO SRVR AUTH.

    Isso garante que o navegador do cliente exibe um aviso de que o certificado não é válido.

  • Não recomendamos essa opção de autenticação, porque configurá-la resulta em sites que não estão sendo autenticados. No entanto, você pode usar essa opção para identificar efetivamente a causa raiz para sessões SSL derrubadas. Veja como ativar a depuração e o rastreamento do proxy SSL.

Autenticação do cliente

Atualmente, a autenticação do cliente não é suportada em proxy SSL. Se um servidor solicitar a autenticação do cliente, um aviso é emitido de que um certificado não está disponível. O aviso permite que o servidor determine se deve continuar ou sair.

Listas de revogação de certificados para proxy SSL

Trabalhando com as listas de revogação de certificados para proxy SSL

A autoridade de certificados (CA) publica periodicamente uma lista de certificados revogados usando uma lista de revogação de certificados (CRL). O dispositivo de segurança baixa e caches o CRL emitido mais recentemente. O CRL contém a lista de certificados digitais com números de série que foram cancelados antes da data de expiração.

A CA revoga o certificado emitido se houver alguma chance de o certificado ser comprometido. Alguns outros motivos para revogar um certificado são:

  • Não especificado (nenhum motivo específico é dado).

  • A chave privada associada ao certificado ou à CA que emitiu o certificado foi comprometida.

  • O proprietário do certificado não está mais afiliado ao emissor do certificado

  • Outro certificado substitui o certificado original.

  • A CA que emitiu o certificado deixou de operar.

  • O certificado está suspenso enquanto aguarda novas ações. É tratado como revogado, mas pode ser aceito no futuro.

Quando um dispositivo participante usa um certificado digital, ele verifica a assinatura e a validade do certificado. Por padrão, a verificação de CRL é habilitada no perfil de proxy SSL.

Começando com o Junos OS Release 15.1X49-D30 e o Junos OS Release 17.3R1, a lista de revogação de certificados de suporte para firewalls da Série SRX (CRL). A validação de CRL no firewall da Série SRX envolve verificar os certificados revogados dos servidores.

No firewall da Série SRX, a verificação de revogação de certificados é habilitada por padrão para o perfil de proxy SSL. Você pode habilitar ou desativar a validação de CRL para atender aos seus requisitos de segurança específicos.

  • Desativar a verificação de CRL.
  • Re habilitar a verificação de CRL.

Você pode permitir ou soltar as sessões quando uma informação de CRL não estiver disponível por motivos como o download de CRL falho ou a indisponibilidade do caminho crl no certificado raiz ou intermediário.

  • Permita as sessões quando as informações de CRL não estiverem disponíveis.

  • Solte as sessões quando as informações de CRL não estiverem disponíveis.

  • Configure um firewall da Série SRX para aceitar um certificado sem uma confirmação confiável disponível no status de revogação e permitir as sessões quando um certificado for revogado e o motivo da revogação estiver suspenso.

Veja também

Melhorias de desempenho de SSL

O aprimoramento do desempenho de SSL no firewall da Série SRX inclui os seguintes recursos:

Otimizando o desempenho de SSL

O aperto de mão SSL/TLS é um processo intensivo de CPU. Como o SSL/TLS é o protocolo de segurança mais usado na web, seu desempenho resulta em impacto significativo no desempenho da Web.

A partir do Junos OS Release 15.1X49-D120, você pode usar as seguintes opções para otimizar o desempenho:

  • Use trocas de chaves RSA otimizadas

  • Use criptografia autenticada com dados associados (AEAD)— AES128-CBC-SHA, AES256-CBC-SHA

  • Manutenção do cache de certificado — o cache de certificado armazena o certificado de servidor interditado junto com os detalhes do certificado do servidor. Durante o aperto de mão SSL/TLS, o proxy SSL pode apresentar o certificado interditado em cache ao cliente em vez de gerar o novo certificado interditado.

Melhorar o desempenho da SSL resulta em um melhor desempenho do site sem comprometer a segurança e maximizar a experiência do usuário.

Você pode configurar opcionalmente as seguintes configurações para o cache do seu certificado. No entanto, recomendamos a retenção dos valores padrão.

Exemplo:

  • (Opcional) Defina o valor do tempo limite do cache do certificado (por exemplo, 300 segundos) .

    Neste exemplo, o cache do certificado armazena os detalhes do certificado por 300 segundos. O valor de tempo limite padrão é de 600 segundos.

  • (Opcional) Desativar o cache do certificado.

    Quando você desativa o cache de certificado, o dispositivo permite o aperto de mão completo do SSL para uma nova conexão. Por padrão, o cache do certificado é ativado.

  • (Opcional) Invalide o cache de certificado existente.

    Neste exemplo, o dispositivo invalida o cache de certificado existente quando a lista de revogação de certificados (CRL) é atualizada. Por padrão, o cache de certificado inválido na atualização do CRL é desativado.

Retomada da sessão

A retomada da sessão SSL fornece um mecanismo para retomar uma sessão anterior usando IDs de sessão já negociados. A retomada da sessão salva o cliente e o servidor da sobrecarga computacional de um aperto de mão SSL completo e da geração de novas chaves primárias.

A retomada da sessão reduz o processo de aperto de mão e acelera as transações de SSL, resultando em um melhor desempenho, mantendo o nível apropriado de segurança.

O TLS 1.2 oferece suporte à retomada da sessão com identificadores de sessão e mecanismos de tíquetes de sessão. Uma retomada da sessão SSL inclui as seguintes etapas:

  • Um mecanismo de cache de sessão armazena informações de sessão, como a chave secreta pré-mestre e cifras acordadas para o cliente e o servidor.

  • O Session ID identifica as informações em cache.

  • Em conexões subseqüentes, ambas as partes concordam em usar o ID da sessão para recuperar as informações em vez de criar uma chave secreta pré-mestre.

A partir do Junos OS Release 22.1R1, o TLS 1.3 oferece suporte à retomada da sessão usando uma chave pré-compartilhada (PSK) em proxy SSL. A retomada da sessão usando o PSK permite retomar uma sessão com uma chave secreta compartilhada previamente estabelecida para reduzir a sobrecarga de aperto de mão da SSL.

O PSK é uma chave de criptografia exclusiva derivada do aperto de mão inicial do TLS. Após um aperto de mão TLS bem-sucedido, o servidor envia uma identidade PSK para o cliente. O cliente usa essa identidade PSK nos futuros apertos de mão para negociar o uso do PSK associado para retomar a sessão.

Uma retomada da sessão SSL com o TLS1.3 inclui as seguintes etapas:

  1. Após um aperto de mão inicial do TLS, o servidor envia uma nova mensagem do Session Ticket ao cliente, que contém a identidade PSK (cópia criptografada do PSK).

  2. Da próxima vez, quando o cliente tentar retomar a sessão, ele envia o mesmo Bilhete de Sessão para o servidor na mensagem Hello.
  3. O servidor descriptografa a mensagem, identifica o PSK e recupera as informações da sessão de seu cache para retomar a sessão.

Uma iniciação SSL-I (SSL) usa PSK com o modo de troca de chaves ECDHE, e o SSL-T (encerramento de SSL) usa PSK e PSK com modos de intercâmbio ECDHE.

A sessão de proxy SSL oferece suporte à interoperabilidade entre TLS1.3 e TLS1.2 e versões anteriores em duas extremidades de uma conexão para a retomada da sessão.

Por padrão, a retomada da sessão é habilitada para proxy SSL. Você pode limpar a retomada da sessão ou reativar de acordo com seus requisitos.

  • Para limpar a retomada da sessão:
  • Para reativar a retomada da sessão:

Use o comando a seguir para configurar o valor do tempo de sessão.

Você pode configurar o valor do tempo limite entre 300 segundos e 86400 segundos. O valor padrão é de 86400 segundos (24 horas).

Renegociação de sessão

O firewall da Série SRX oferece suporte à renegociação de sessões. Depois que uma sessão é criada e o transporte de túnel SSL é estabelecido, uma mudança nos parâmetros SSL requer renegociação. O proxy SSL oferece suporte a renegociações seguras (RFC 5746) e não seguras (TLS v1.0, TLS v1.1 e TLS v1.2). Quando a retomada da sessão é habilitada, a renegociação de sessões é útil nas seguintes situações:

  • As chaves de cifra precisam ser atualizadas após uma sessão de SSL prorrogada.

  • Cifras mais fortes precisam ser aplicadas para uma conexão mais segura.

Se você modificar o perfil de proxy SSL alterando um certificado, ou força de cifra ou lista ca confiável, então o sistema libera as entradas de cache quando você comete a política modificada. Nesse caso, é necessário um aperto de mão completo para estabelecer os novos parâmetros SSL. (Não há impacto nas sessões não-SSL.)

Se o perfil de proxy SSL não for alterado, as entradas de cache correspondentes a esse perfil não serão liberadas e a sessão continua.

Negociação de StartTLS para sessões de SMTP

O StartTLS permite uma sessão SMTP de uma conexão TCP simples inicial para uma conexão TLS mais segura. O StartTLS permite a sessão de SMTP entre o servidor e o cliente na camada TLS após uma negociação bem-sucedida entre os pares. O StartTLS atualiza uma conexão SMTP simples e insegura existente para uma conexão SSL/TLS segura.

Você pode definir um limite que permite que você decida quanto tempo esperar antes de ignorar a sessão se o StartTLS não for recebido do cliente.

Você pode configurar as seguintes opções:

  • byte-threshold — bytes mínimos de sessão não criptografada permitidos antes de ignorar a sessão se o StartTLS não for recebido do cliente. Faixa de 100 a 300.
  • limite de pacote — número de pacotes não criptografados permitidos na direção do cliente ao servidor antes de ignorar a sessão se o StartTLS não for recebido do cliente. Faixa de 1 a 15.

Exemplo:

Neste exaple, o proxy SSL permite 100 bytes de tráfego SMTP simples (não criptografado). Depois de atingir 100 bytes, ele ignora a sessão se o StartTLS não for recebido do cliente.

Neste exemplo, o proxy SSL permite 2 pacotes de tráfego SMTP simples (não criptografado). Após atingir 2 pacotes, ele ignora a sessão se o StartTLS não for recebido do cliente.

Resolução dinâmica de nomes de domínio

Os endereços IP associados a nomes de domínio são dinâmicos e podem mudar a qualquer momento. Sempre que um endereço IP de domínio muda, ele é propagado para a configuração de proxy SSL (semelhante ao que é feito na configuração da política de firewall).

Documentação relacionada

Tabela de histórico de lançamento
Lançamento
Descrição
15,1X49-D30
Começando com o Junos OS Release 15.1X49-D30 e o Junos OS Release 17.3R1, a lista de revogação de certificados de suporte para firewalls da Série SRX (CRL).