Kompatibilitätsprobleme zwischen Cisco-Firewall und TLS 1.3
Ein Unternehmen hatte ein Problem mit seiner Cisco-Firewall: Aufgrund der Verschlüsselung von Serverzertifikaten durch TLS 1.3 konnte die Firewall keine Regeln für den Zugriff auf URLs oder Anwendungen basierend auf dem Zertifikatinhalt durchsetzen. Um dies zu lösen, führte Cisco die Funktion TLS-Server-Identitätserkennung ein, die eine zusätzliche TLS 1.2-Handshake verwendet, um das Zertifikat im Klartext abzurufen. Dies widersprach jedoch dem erwarteten Verhalten der Postgres-Datenbank. Das eigentliche Problem war nicht die TLS 1.3-Inkompatibilität, sondern die Firewall war nicht konfiguriert, unbekannte Anwendungen zu blockieren; sie versuchte 3 Sekunden lang, das Zertifikat zu lernen, bevor sie aufgab und die Verbindung zuließ.