変更された内容

オペレーターログインクラスは、世界に読み取れないNETCONFトレースファイル(ACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズ、SRXシリーズ、vMX、vSRX)の表示を制限します。階層レベルで[edit system services netconf traceoptions]NETCONFトレースオプションを設定し、ステートメント(デフォルト)を設定または省略no-world-readableしてファイルアクセスを制限する場合、ログインクラスにoperator割り当てられたユーザーはトレースファイルを表示する権限を持っていません。

SSL プロキシーによる ECDSA 証明書の限定的なサポート(SRX シリーズおよび vSRX 3.0)—SRX シリーズ ファイアウォールおよび vSRX 仮想ファイアウォールに構成された SSL プロキシーの使用:

• P-384/P-521サーバー証明書を持つECDSAベースのWebサイトは、セキュリティデバイスがP-256グループのみをサポートする制限があり、root-ca証明書ではアクセスできません。

• RSA ベースの root-ca および P-384/P-521 ECDSA ルート ca 証明書が構成されている場合、SSL ターミネーターが RSA とネゴシエートされるため、すべての ECDSA Web サイトにアクセスすることはできません。そのため、セキュリティ デバイスは SSL ハンドシェイクを行いながら宛先 Web サーバーに RSA 暗号と sigalgs のみを送信しています。ECDSA と RSA ベースの Web サイトの両方に RSA ルート証明書とともにアクセスできるように、256 ビット ECDSA ルート証明書を構成します。

• シナリオによっては、SSL プロキシ設定で 256 ビット ECDSA ルート証明書を使用しても、サーバーが P-256 グループをサポートしていない場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。

• 他のシナリオでは、SSL プロキシ設定で 256 ビット ECDSA ルート証明書を使用しても、サーバーが P-256 以外の sigalgs をサポートしている場合、P-256 サーバー証明書を持つ ECDSA ベースの Web サイトにアクセスできません。この問題は、署名検証が失敗した場合のハードウェア オフロード モードで発生します。Junos OS リリース 22.1R1 で ECDSA 証明書のハードウェア オフロードが導入された場合、22.1R1 より前にリリースされた Junos OS を使用している場合、この問題は観察されません。また、ECDSA 証明書の SSL プロキシがソフトウェアで処理される場合、この問題は発生しません。