Vidím to hodně u zákazníků na FGT.
Viděli jste to někdy předtím?
FZ.
openssl s_client -showcerts -connect 40.68.123.157:443 -servername “sls.update.microsoft.com”
Servery řetězí certifikát až k “Microsoft Root Certificate Authority 2011”, která podle pohledu (get vpn certificate ca | grep Microsoft) nevypadá, že by byla součástí vestavěného kořenového CA balíčku v FortiOS (verze balíčku 1.00050). Takže z pohledu FortiGate by byl považován za nedůvěryhodný, protože není podepsán známou CA.
Toto je funkce SSL inspekce. Pokud zkontrolujete podrobnosti v logách, mělo by vám sdělit, co přesně je špatně s certifikátem cílové adresy.
Ahoj, podívej se na toto
Varování o nedůvěryhodném certifikátu ve FortiGate - Komunita Fortinet
Certifikát není důvěryhodný. SSL Server Test: sls.update.microsoft.com (Powered by Qualys SSL Labs)
Toto je dobrý postřeh… Jaké máte doporučení? Nainstalovat je jako důvěryhodné na Forti, nebo byste URL vyloučili?
Ten certifikát není důvěryhodný nikde… ani Chrome…
Těžko říct.
Nejsem moc nakloněn důvěře v náhodné Microsoft CA. Na druhou stranu, při používání Windows, tyto CA implicitně důvěřujete. Takže… eh?
Alternativně byste to mohli řešit samostatnou politikou, například cílením na FQDN objekt a nevalidovat certifikát pro tento provoz.
Ne, to je jen věc Chromu kvůli Certifikátové Transparentnosti, jak uvádí zpráva v Chromu. Firefox a Edge důvěřují certifikátu.
Podle mě Chrome deleguje správu důvěryhodných kořenů na Windows OS, a Windows s tímto kořenem důvěřuje.
Samozřejmě, to nic nemění na tom, že FortiOS mu nedůvěřuje. (a nevidím důvod, proč by to mělo, zatím)