一部のサイトにアクセスするとタイムアウトする

TLS 1.3 hybridized Kyber support が有効になっているブラウザ(Google Chrome,Edge など)で、TLS 1.3 に対応していないサイト(さくらインターネットなど)にアクセスするときに、SSL復号時にパケットが肥大化し分割して送信されるのにファイアウォール(Palo Alto)が処理しきれなくなりSSL/TLSセッションを構築できなくなる不具合が発生する場合があります。

該当環境

5/15時点でタイムアウトが確認されている環境は以下の通りです。

  • 弘前大学内のネットワーク(SSL VPN経由含む)からさくらインターネットにホスティングされているウェブサーバにアクセスするとき
  • 使用OSが、MacOS または Android
  • 使用ブラウザが、Google Chrome または Edge

対応策

  • Kyber の設定を無効にする
    • アドレスバーに以下のアドレスを入れる
      • Microsoft Edgeの場合 : edge://flags/#enable-tls13-kyber
      • Google Chromeの場合 : chrome://flags/#enable-tls13-kyber
    • 「TLS 1.3 hybridized Kyber support」または、「TLS 1.3 post-quantum key agreement」が強調表示されているので、こちらの設定を「Disabled」に変更する
    • 右下に表示される「再起動」、「Relaunch」をクリック

参考

TLS 1.3 hybridized Kyber supportが有効化されているブラウザでの通信でSSL復号化機能が動作しないことがある事象について – Smart Data Platform Knowledge Center

Permanent link to this article: https://itc.hirosaki-u.ac.jp/blog/ufaq/44590