Fort Lox

UPDATE – Fortinet

Vandaag (01/10/2021) ondervinden FortiGate gebruikers problemen tijdens het verbinden met bepaalde website. Dit heeft te maken met een verlopen R3 intermediate certificaat.

Websites en bronnen die gebruik maken van de R3 intermediate worden door FortiGate geblokkeerd wanneer SSL-inspectie is ingeschakeld. De eerste meldingen dateren van gisterenavond. (30/09/2021) Dit probleem treed niet specifiek op bij een bepaalde leverancier, het is een gevolg van een verlopen certificaat.

Volgende error kan verschijnen:

This certificate cannot be verified up to a trusted certification authority.

Vereisten:

  • Diepe SSL-inspectie of certificaatinspectie is ingeschakeld
  • Web-, e-mail-, AV- en/of DLP-profiel(en) met proxy-inspectie ingeschakeld en toegepast op een firewallbeleid

Oorzaak:

  • De R3 intermediate certificaten en de certificaten die kruiselings zijn ondertekend door R3 intermediate Root CA zijn verlopen op 30 september 2021.
  • Sommige webservers die certificaten gebruiken die door deze CA's zijn ondertekend, bevatten nog steeds de verlopen certificaten als onderdeel van de certificeringsketen die aan de klant wordt geleverd.
  • Het FortiGate toestel weigert de verbinding omdat de vertrouwensketen ongeldig is; certificaten zijn verlopen en geven blokpagina weer (afhankelijk van configuratie).

Tijdelijke oplossing:

Maak altijd een volledige configuratieback-up voordat u een configuratiewijziging aanbrengt. Een onderhoudsvenster of het isoleren van wijzigingen aan een testwerkstation wordt aanbevolen.

Tijdelijke workaround is om de SSL inspection uit te schakelen. Vergeet zeker niet om deze opnieuw in te schakelen eens het probleem van de baan is. Het gaat hier over een wereldwijd probleem. Op dit ogenblik is er nog geen zicht op wanneer dit opgelost zal zijn.

(Door Stephanie Meynendonckx en Niels Zwaenepoel)