Pfsense 2.3.1 + Squid Transparent + Certificado LetsEncrypt
-
Boa tarde.
Estou com problemas em Filtrar HTTPs com Squid em Modo Transparente, ao ativar HTTPS/SSL Interception e informar a CA importada o serviço não sobe e o log informa o erro:
Bungled /usr/local/etc/squid/squid.conf line 6: https_port 127.0.0.1:3129 intercept
/pkg_edit.php: O comando '/usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf' retornou o código de saída '1', a saída foi '2016/07/08 15:07:39| FATAL: tproxy/intercept on https_port requires ssl-bump which is missing. FATAL: Bungled /usr/local/etc/squid/squid.conf line 6: https_port 127.0.0.1:3129 intercept Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.011 seconds = 0.011 user + 0.000 sys Maximum Resident Size: 39696 KB Page faults with physical i/o: 0'
Criamos um certificado para o nosso domínio pela letsencrypt.org e foram gerados os arquivos:
fullchain.cer
ca.cer
Servidor.Dominio.cer
Servidor.Dominio.csr
Servidor.Dominio.key
Importamos o arquivo ca.cer em Cert Manager / CAs
Importamos os arquivos Servidor.Dominio.cer e Servidor.Dominio.key em Cert Manager / CertificadosTentamos contornar o problema incluindo os parâmetros abaixo no campo Custom ACLS (Before Auth) mas não funcionou
always_direct allow all
https_port 3129 intercept ssl-bump key=/root/Servidor.Dominio.key cert=/root/Servidor.Dominio.cer cafile=/root/ca.cerPor favor nos informe se é possível usar o Squid Transparente com um Certificado Válido e o que devemos fazer para contornar o problema.
Obrigado.
Pfsense 2.3.1 64bits
Squid 0.4.21 -
Quero acompanhar esse tópico.
-
É possível usar Certificado Válido no Squid Transparente para filtrar HTTPS?
-
É possível usar Certificado Válido no Squid Transparente para filtrar HTTPS?
Não, pois no caso não é certificado de usuário, e sim de uma CA.
-
O squid assina os sites com uma CA, como o Thomas já postou. Pelo menos até hoje, não conheço nenhuma unidade certificadora que venda uma sub CA. Isso seria a porta para invalidar a CA raiz, já que seria possível assinar qualquer site com a CA de segundo ou terceiro nível entregue.
-
O squid assina os sites com uma CA, como o Thomas já postou. Pelo menos até hoje, não conheço nenhuma unidade certificadora que venda uma sub CA. Isso seria a porta para invalidar a CA raiz, já que seria possível assinar qualquer site com a CA de segundo ou terceiro nível entregue.
Buenas, está vivo ainda? rsrs Faz tempo que não passa por aqui!!
-
Obrigado pelas respostas.
Tenho que dar acesso a alunos de uma escola, que dica vocês me dão quanto ao acesso de páginas https?
Http é tranquilo com squidguard mas o https fica difícil já que terei que usar proxy transparente e me parece inviável instalar certificado não válido em todos os equipamentos particulares dos alunos.
Fico grato com a ajuda. -
Uma opção seria usar nxFilter, não é a melhor mas pra quem não tem nada.
-
Vou dar uma olhada nesse NxFilter, não conheço.
Obrigado
