CiscoファイアウォールとTLS 1.3の互換性問題
2025-05-22
ある企業がCiscoファイアウォールで問題に遭遇しました。TLS 1.3によってサーバー証明書が暗号化されるため、ファイアウォールは証明書の内容に基づいてURLやアプリケーションへのアクセスルールを適用できませんでした。これを解決するために、CiscoはTLSサーバーID検出機能を導入し、追加のTLS 1.2ハンドシェイクを使用して平文で証明書を取得します。しかし、これはPostgresデータベースの期待される動作と矛盾していました。実際の問題はTLS 1.3の非互換性ではなく、ファイアウォールが未知のアプリケーションをブロックするように構成されていなかったことです。ファイアウォールは3秒間証明書の学習を試みた後、諦めて接続を許可しました。
テクノロジー