@renatodru:
pfsense 2.3.2-RELEASE-p1 (amd64) com a ultima versão do squid (squid-3.5.19_1), ja vi todas as vídeo aulas sobre o assunto.
A configuração que preciso para o meu ambiente é proxy transparente para http e https.
Adicionei o certificado do pfsense nas estações, acessando o pfsense fica verdinho o certificado.
A maioria dos sites em https acessa normal (P.ex: facebook) e não da erro, mas em alguns da o problema do HSTS (NET::ERR_CERT_COMMON_NAME_INVALID"), dai eu sei que não tem como fazer, tem que dar bypass.
como por exemplo o gmail.com, esse ai tudo bem, dou o bypass que nem sempre resolve funcionar, ou uso o squidgard para redirecionar para mail.google.com (no modo anonimo o redirecionamento não funciona).
Quando o bypass resolve não funcionar, tem maquina que acessando diretamente os sites *.google.com o certificado da erro de segurança porque acusa uso de SHA-1. detalhe fica funcionando para um site e não para outro.
por exemplo para o site www.nfe.fazenda.gov.br, mesmo configurado para dar bypass, o bypass não funciona, e consigo usar o site mesmo ficando com o cadeado vermelho, erro: (net:::ERR_CERT_AUTHORITY_INVALID), em outros momentos o bypass funciona e o cadeado fica verde (funcionando como deveria), como também ocorre do bypass não funcionar e o cadeado ficar verde, sem erros.
tem esse site aqui https://vhsys.com.br ele usa vários ip's fazendo balanceamento. percebi que quando ele pega um ip especifico não dá problema, mas em outros sim. Esse se não entrar no bypass não funciona.
criei um alias com todos os sites que estão dando erro de HSTS, coloquei para dar bypass no alias e coloquei os sites diretamente no whitelist das ACL's do squid, mas os problemas persistem.
colocando para não verificar o certificado remoto, também persiste.
desmarcando as opções do Certificate Adapt, também persiste.
adicionar as seguintes linhas, também persiste:
always_direct allow all
ssl_bump server-first all
O maior problema é ter que adicionar todos os sites que dão erro de HSTS na lista, e o fato do bypass funcionar quando quer
Os testes foram feitos usando Chrome em modo anonimo e com cache sempre limpo, maquina linux e windows 7 recém formatado.
Com tudo isto a unica conclusão que eu posso chegar é que o squid esta com sérios problemas de instabilidade, quando bypass/whitelist e man-in-the-middle são usados juntos.
Tira print de todas as suas configurações e tire um print de onde o seu certificado está sendo instalado. E quais navegadores você está utilizando e como você está fazendo para o certificado serem instalados nos computadores.
tenho 100% de certeza que isso não é bug do squid, porque os bug que ele tinha foram todos corrigidos nessa nova versão. Essa ISO que você baixou do pfsense é direto do site do pfsense?
