Pfsense 2.3.1 + Squid Transparent + Certificado LetsEncrypt

catatau77 · Jul 8, 2016, 6:33 PM

Boa tarde.

Estou com problemas em Filtrar HTTPs com Squid em Modo Transparente, ao ativar HTTPS/SSL Interception e informar a CA importada o serviço não sobe e o log informa o erro:

Bungled /usr/local/etc/squid/squid.conf line 6: https_port 127.0.0.1:3129 intercept

/pkg_edit.php: O comando '/usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf' retornou o código de saída '1', a saída foi '2016/07/08 15:07:39| FATAL: tproxy/intercept on https_port requires ssl-bump which is missing. FATAL: Bungled /usr/local/etc/squid/squid.conf line 6: https_port 127.0.0.1:3129 intercept Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.011 seconds = 0.011 user + 0.000 sys Maximum Resident Size: 39696 KB Page faults with physical i/o: 0'

Criamos um certificado para o nosso domínio pela letsencrypt.org e foram gerados os arquivos:

fullchain.cer
ca.cer
Servidor.Dominio.cer
Servidor.Dominio.csr
Servidor.Dominio.key

Importamos o arquivo ca.cer em Cert Manager / CAs
Importamos os arquivos Servidor.Dominio.cer e Servidor.Dominio.key em Cert Manager / Certificados

Tentamos contornar o problema incluindo os parâmetros abaixo no campo Custom ACLS (Before Auth) mas não funcionou
always_direct allow all
https_port 3129 intercept ssl-bump key=/root/Servidor.Dominio.key cert=/root/Servidor.Dominio.cer cafile=/root/ca.cer

Por favor nos informe se é possível usar o Squid Transparente com um Certificado Válido e o que devemos fazer para contornar o problema.

Obrigado.

Pfsense 2.3.1 64bits
Squid 0.4.21

maxwelber · Jul 8, 2016, 9:26 PM

Quero acompanhar esse tópico.

catatau77 · Jul 12, 2016, 2:14 PM

É possível usar Certificado Válido no Squid Transparente para filtrar HTTPS?

tomaswaldow · Jul 12, 2016, 3:07 PM

@catatau77:

É possível usar Certificado Válido no Squid Transparente para filtrar HTTPS?

Não, pois no caso não é certificado de usuário, e sim de uma CA.

marcelloc · Jul 12, 2016, 11:03 PM

O squid assina os sites com uma CA, como o Thomas já postou. Pelo menos até hoje, não conheço nenhuma unidade certificadora que venda uma sub CA. Isso seria a porta para invalidar a CA raiz, já que seria possível assinar qualquer site com a CA de segundo ou terceiro nível entregue.

tomaswaldow · Jul 13, 2016, 11:09 AM

@marcelloc:

O squid assina os sites com uma CA, como o Thomas já postou. Pelo menos até hoje, não conheço nenhuma unidade certificadora que venda uma sub CA. Isso seria a porta para invalidar a CA raiz, já que seria possível assinar qualquer site com a CA de segundo ou terceiro nível entregue.

Buenas, está vivo ainda? rsrs Faz tempo que não passa por aqui!!

catatau77 · Sep 12, 2016, 4:39 PM

Obrigado pelas respostas.
Tenho que dar acesso a alunos de uma escola, que dica vocês me dão quanto ao acesso de páginas https?
Http é tranquilo com squidguard mas o https fica difícil já que terei que usar proxy transparente e me parece inviável instalar certificado não válido em todos os equipamentos particulares dos alunos.
Fico grato com a ajuda.

tomaswaldow · Sep 12, 2016, 6:49 PM

Uma opção seria usar nxFilter, não é a melhor mas pra quem não tem nada.

catatau77 · Sep 23, 2016, 8:22 PM

Vou dar uma olhada nesse NxFilter, não conheço.
Obrigado