فهم أخطاء بروتوكول TLS والشهادة المشتركة

خيارات التنزيل

  • PDF     (241.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٩ سبتمبر ٢٠٢٥
معرّف المستند:224832

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند أخطاء الشهادة العامة وبروتوكول TLS في البحث عن نشاط لوحة معلومات Umbrella.

    نظرة عامة

    تم حظر حركة مرور HTTP بسبب الشهادة ويمكن الآن عرض أخطاء TLS في البحث الخاص ب Umbrella Dashboard Activity. تقدم هذه المقالة قائمة برسائل الخطأ الشائعة بالاضافة إلى شرح مختصر لكل خطأ.

    أخطاء الشهادة

    انتهت صلاحية شهادة الخادم

    انتهت صلاحية الشهادة المقدمة من موقع الويب. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    شهادة الخادم ذاتية التوقيع

    لم يتم توقيع شهادة الخادم المقدمة من موقع الويب من قبل مرجع مصدق، وبالتالي يتعذر على Umbrella تحديد ما إذا كانت الشهادة جديرة بالثقة.

    تستخدم الشهادات الموقعة ذاتيا أحيانا عندما يستضيف الخادم موردا مخصصا لجمهور مقيد. على سبيل المثال، بوابات الويب لأجهزة أمان i.T. غالبا ما تكون افتراضية لاستخدام شهادات ذاتية التوقيع. لا يمكن تكوين Umbrella للثقة في الشهادات الموقعة ذاتيا.

    شهادة وسيطة مفقودة

    لم تتمكن Umbrella من الحصول على شهادات لكافة السلطات الوسيطة، وبالتالي لم تتمكن من التحقق من صحة سلسلة الثقة الكاملة.

    يتم إصدار/توقيع شهادات خادم الويب بشكل نموذجي على الشهادة الوسيطة لهيئة الشهادات. يمكن أيضا إصدار تلك الشهادات المتوسطة بواسطة شهادات أخرى متوسطة. وتكون شهادة خادم الويب (مثل "شهادة طرفية") وأي شهادة (شهادات) متوسطة سلسلة من الشهادات ترجع إلى شهادة الجذر. يجب أن يجمع موقع الويب الشهادة (الشهادات) الوسيطة مع شهادة الخادم حتى تتمكن Umbrella من التحقق من صحة سلسلة الثقة الكاملة. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    وبدلا من ذلك، إذا كانت الشهادة تتضمن الملحق "الوصول إلى معلومات المرجع"، تحاول Umbrella إحضار بطاقات CA للوسيط تلقائيا. لاحظ أن Umbrella تدعم امتداد AIA فقط عند تمكين فك تشفير HTTPS وفحص الملفات.

    اسم الموضوع مفقود لشهادة المنبع.

    لا يحتوي حقل الموضوع للشهادة على اسم مميز (DN) لتعريف هذه الشهادة. هذا شرط لجميع الشهادات الصادرة عن هيئة شهادة، وبالتالي فهي مطلوبة من قبل Cisco Umbrella. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    شهادة تدفق البيانات تفتقد إلى اسم مشترك.

    الشهادة المقدمة من موقع الويب ليس لها اسم مشترك. يتطلب حقل الاسم الشائع (CN) من قبل Umbrella SWG. يحتوي هذا على اسم مضيف الشهادة المطلوب للتحقق من مطابقة الشهادة للمورد المطلوب من المستخدم (على سبيل المثال. العنوان الذي تم إدخاله إلى المستعرض). اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    شهادة الخادم غير موثوق بها

    الشهادة غير موثوق بها من قبل Cisco Umbrella. عادة ما يعني هذا الخطأ أن Cisco لا تثق في CA الجذر الذي أصدر الشهادة.

    تتضمن Umbrella SWG قائمة مدمجة بمراجع شهادات الجذر الموثوقة المعروفة التي قمنا بتحديثها من مصدر معروف. في حالة عدم توقيع شهادة مواقع الويب من قبل مرجع مصدق في هذه القائمة، يفشل التحقق من صحة الشهادة. إذا كنت تعتقد أن Umbrella تفتقد مرجع مصدق جذري يمكن الوثوق به، فالرجاء الاتصال بالدعم الفني.

    اسم المضيف في الشهادة مختلف عن المتوقع

    المورد المطلوب من المستخدم (على سبيل المثال. لا يتطابق العنوان الذي تم إدخاله إلى المستعرض) مع الاسم الشائع (CN) أو الاسم البديل للموضوع (SAN) للشهادة، وبالتالي لا يمكن ل Umbrella أن تثق في الشهادة لهذا الطلب. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    تم إبطال شهادة تدفق البيانات

    تم إبطال الشهادة المقدمة من موقع الويب من قبل المرجع المصدق.

    تقوم Umbrella بفحص OCSP (بروتوكول حالة الشهادة على الإنترنت) لتحديد ما إذا كانت الشهادة قد تم إبطالها لاحقا بواسطة CA. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    أخطاء مصافحة TLS

    شفرة تدفق غير مدعومة

    تعذر إكمال مصافحة TLS. وهذا يعني عادة أن موقع الويب لا يدعم أي من قوائم مجموعات التشفير المستخدمة من قبل Umbrella SWG. يمكن أن يحدث هذا الخطأ مع خوادم ويب القديمة أو القديمة التي تدعم فقط شفرات TLS الأضعف. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    عدم تطابق إصدار Upstream TLS

    تعذر إكمال تأكيد اتصال TLS لأن موقع الويب لا يدعم نفس إصدار TLS الذي تستخدمه Umbrella SWG. في الوقت الحالي، يدعم وكيل Umbrella SWG نظامي TLS 1.2 و TLS 1.3 على كل من الاتصالات من جانب العميل إلى Umbrella SWG وأيضا من إتصالات وكيل Umbrella SWG إلى خوادم الويب الوجهة.

    مفتاح DH للتدفق أقل من 1024 بت

    تعذر إكمال مصافحة TLS لأن موقع الويب يستخدم مفتاح Diffie-Hellman ضعيف غير مدعوم من قبل Umbrella. اتصل بمدير موقع الويب الخاص بالموقع للإبلاغ عن هذه المشكلة.

    الحلول

    من الممكن حل هذه المشاكل من خلال إجراء تغييرات التكوين في Cisco Umbrella. يجب أن يتم هذا فقط إذا كنت تثق في أصالة الخادم والشهادة.

    يمكن تطبيق الحلول البديلة باستخدام إدخال "قائمة فك التشفير الانتقائي" لتعطيل فك التشفير أو إدخال "مجالات خارجية" لتخطي حركة المرور من Umbrella بالكامل. لا تقوم Umbrella بالتحقق من صحة الشهادة عند تعطيل فك التشفير. كن على علم بأنه في معظم الحالات، لا يزال المستعرض يمثل خطأ أو تحذيرا عندما يتم تجاوز حركة المرور من Umbrella - تقوم مستعرضات الويب بإجراء تحقق مماثل من صحة الشهادة.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    09-Sep-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات