【重要】SSLインスペクション利用時のLet'sEncrypt 証明書利用サイトへのアクセス不可について
Let's Encryptのサーバ証明書を利用したHTTPSサイトへFortiGateを経由してアクセスした際にSSLインスペクションが有効になっているとアクセスができない事象が発生しています。
Let's EncryptのRootCA証明書が2021年9月30日にて有効期限が切れておりますがFortiGate内部に更新された証明書チェーンの情報が無いため、Let's Encyrptの更新されたRootCAを認識できず、エラーとなっています。
以下のサイトにて本情報について確認することができます。
https://www.fortinet.com/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
弊社ではLet's Encryptの証明書をportal.znw.co.jpのサイトにて利用しております。
FortiGateを利用してportal.znw.co.jp ポータルサイトにアクセスをしますと事象が発生します。
Fortinet社では現在証明書情報の更新準備が行われていまます。
10月2日の朝以降、更新が予定されています。
情報は基本的に自動更新されます。
ワークアラウンドについて
SSLインスペクションのプロファイルにて、信頼されないSSL証明書を許可 に変更しますとアクセスすることができるようになります。
10月4日 8:00の時点で事象は解消されています。
もし、まだ事象が発生する場合は、CLIにて、
# exe update-now
を実行いただき、FortiGuardの更新を行ってください。
# get sys auto-update versions
を実行いただくと、証明書チェーンの情報の更新状況、certificate bundle の更新状況を確認することができます。
10月5日 追記
# exe update-now にて事象が解消されない場合は以下の操作をお試しください。
1.apps.identrust.com のアクセスをブロックする設定をdns-databaseに設定します
# config system dns-database
edit "1"
set domain "identrust.com"
config dns-entry
edit 1
set hostname "apps"
set ip 127.0.0.1
next
end
next
end
2.以下のコマンドを実行し、キャッシュされた証明書の検証結果をクリアします。
# diag ips share clear cert_verify_cache
3.以下のコマンドを実行し、WADによって処理されるセッションを終了させます。
※この操作はアクセスに影響します。ご利用されてない時間帯にて実施してください。
# diagnose test application wad 99
10月19日 追記
トランスペアレントモードにおける対応について
トランスペアレントモードではFortiGateのdns-databaseに設定する方法での対応はとれません。
ワークアラウンドは以下の方法となります。
・FortiGateの上位機器にて"apps.identrust.com"へのアクセスをブロックします。
・FortiGateにてキャッシュクリア (diagnose ips share clear cert_verify_cache ) または
FortiGateのリブートを実施してください。
本操作をお試しいただき、それでも事象が解消されない際はお手数ですがお問合せいただけますようお願いいたします。