Problèmes de compatibilité entre le pare-feu Cisco et TLS 1.3
Une entreprise a rencontré un problème avec son pare-feu Cisco : en raison du chiffrement des certificats de serveur par TLS 1.3, le pare-feu ne pouvait pas appliquer les règles d’accès aux URL ou aux applications en fonction du contenu du certificat. Pour résoudre ce problème, Cisco a introduit la fonctionnalité de découverte d’identité du serveur TLS, utilisant une poignée de main TLS 1.2 supplémentaire pour récupérer le certificat en texte clair. Cependant, cela était en conflit avec le comportement attendu de la base de données Postgres. Le véritable problème n’était pas l’incompatibilité de TLS 1.3, mais plutôt le pare-feu n’était pas configuré pour bloquer les applications inconnues ; il tentait d’apprendre le certificat pendant 3 secondes avant d’abandonner et de permettre la connexion.