Celulares (móviles) y tablets - Problema con squid3-dev transparente

bellera

El navegador por defecto de mi Android dice que voy a almacenar una CA al ir a www.midominio.tld/MiCA.crt

Se instala, pero no pude probar el paso por el proxy transparente. Lo tengo en pruebas y en los PCs cambio la puerta de enlace "a mano", cosa que con la WiFi de los Android no sé si puedo hacer.

Tendré que probar en situación totalmente "real".

Siento haber sido tan optimista. Parecía evidente que funcionaba. ¡Disculpas!

De todas maneras, en los Android hay que ir a opciones de seguridad para permitir la instalación de certificados. Por defecto está desactivado el permiso. También hay que activar una clave (de acceso a credenciales) para poder hacerlo.

http://www.securityartwork.es/wp-content/uploads/2012/05/m0.jpg
Curiosa utilización –--> http://www.securityartwork.es/2012/05/04/curioseando-trafico-https-en-aplicaciones-android/

http://www.flu-project.com/2013/06/acceder-sitios-web-de-manera-segura_26.html

http://si.ua.es/es/wifi/eduroam/peap/eduroam-instalacion-para-android.html

A ver si te sirven esas guías y puedes confirmar que te funciona el CA en Android. Debería.

joselms02

Buenas noches, cierto que hay aplicaciones que no se conectan en mi caso, tengo un celular con android 4.1.2.
Las que probé fueron: LINE, Twitter, me dieron problema, no se conectaron.

Skype, probé la llamada demo y funciono. Hay un post que dice que no funciona y  un procedimiento para corregir este detalle pero yo no hice nada de eso y me funciono como dije la llamada demo. No realice mas pruebas.

Saludos.-

bellera

@joselms02:

Skype, probé la llamada demo y funciono. Hay un post que dice que no funciona y  un procedimiento para corregir este detalle

Por favor, citemos las fuentes. Así documentamos bien el foro.

¡Gracias!

@joselms02:

cierto que hay aplicaciones que no se conectan en mi caso, tengo un celular con android 4.1.2.
Las que probé fueron: LINE, Twitter, me dieron problema, no se conectaron.

Entiendo que eso puede ser tanto un problema de no tener instalada la CA como de puertos usados en la conexión.

Una posible solución es crear alias de IPs de destino de estas aplicaciones y hacer bypass del proxy para esos alias. Este método lo tengo aplicado para DropBox, sin problemas.

anmr2380

saludos bellera

te contesto la pregunta que me hiciste en otro hilo del foro

te comento que lei todos los link principalmente el de instalacion de certificado pero el caso mio es que no integra el certificado creado por la entidad certificadora de pfsense (el internal ca)a los navegadores firefox o navegador por defecto de el android, ademas cuando instalo el certificado no me pide que ingrese la key con el cual se creo el certificado lo hice miles de veces y nada,lo que si me pidio fue que configurara un pin de acceso a la tablet sin eso no te deja instalar el certificado,en el navegador por defecto al entrar en una pagina cifrada me sale que el certificado tiene un error y queda con el candadito abierto al recargar de nuevo la pagina sale con el candadito cerrado pero lo malo en mi navegador por defecto del android es que al hacerle clic en el candadito de cifrado de pagina no me sale para ver con que entidad certificadora la registro,pero en firexfox me sale que "esta conexion no esta verificada", es como que no detectara que el certificado esta instalado en las entidades certificadoras de mi android pero encambio si pongo acepto la conexion no verificada y hago clic en el candadito de cifrado de pagina si puedo ver que entidad certificadora verifico ,pero si solo aceptas la conexion no verificada solo sale que agregastes un excepcion.

sobre el problema de algunas aplicaciones que no conectan lo solucione  creando alias con los cir de todas las conexiones que hacen las aplicaciones para eso utilice un sniffer de conexiones en android, y la solucion para sniffar solo la aplicacion deseada porque en ese momento se te pueden conectar varias aplicaciones a internet y quedan resgistradas las ip en el sniffer, es usar un firewall para bloquear el acceso a internet y despues permitir el acceso a internet a solo la aplicacion y el sniffer ,entonces cuando usas la aplicacion solo quedara registrada las conexiones de la aplicacion snifada

bellera

Ok, gracias.

En cuanto tenga mi instalación en producción veré qué pasa con el CA en los Android.

Tienen que funcionar, pues entre los enlaces que te dí están las instrucciones para las conexiones Eduroam (empleadas en escuelas y universidades europeas) y emplean sus propios CAs.

anmr2380

si bellera deberia funcionar no solo vi tus enlaces vi otros en la web pero no he encontrado uno que hable d ese problema
y esto es importante para mi porque sino las paginas cifradas no las muestra bien en el navegador de firefox android osera mi version de android porque uso una room no oficial

anmr2380

haber pase el certificado.crt a certificado.p7c pero al instalarlo en adroid me pide una clave cual es esa clave como la pongo, donde la consigo si al crear la entidad certificadora no me pidio eso

bellera

Entiendo que la clave debería ser la que tienes puesta en el Android para acceder a su almacén de certificados.  Según versiones de Android pide PIN, clave específica…

http://wiki.cacert.org/FAQ/ImportRootCert#Android_Phones_.26_Tablets

Si no es así, has hecho algo que te pide la palabra de paso para generar certificados y eso es interno a tu pfSense. No es el camino.

El archivo de la CA generado por pfSense NO sirve para Android.

Hay que convertirlo a formato DER.

Google convert root certificate to android

http://www.ucs.cam.ac.uk/mobiledevices/certificate-conversion.html

Estoy con un entorno ya real. He puesto un AP a mi instalación en pruebas y conectado mi Android 2.2.2 a fin de desatascar este tema.

Mañana sigo con él. Hoy tengo que dejarlo.

bellera

Malas noticias…

A pesar de haber convertido MiAutoridadCertificadora.crt (formato PEM generado por pfSense) a MiAutoridadCertificadora.der (formato DER) simplemente exportando el PEM ya cargado en un Firefox a DER y verificando que, efectivamente, ya no es un archivo de texto leíble (formato PEM)…

Añadir que el DER lo he probado con un Windows XP (IE8, Chrome, Firefox).

Y no funciona en:

Teléfono móvil Vodafone - HTC Desire - Android 2.2.2

Tablet - BQ Edison 3G - Android 4.0.4

La tablet, con la 4.0.4, permite ver más cosas...

En Configuración / Seguridad / Almacenaje de credenciales / Credenciales de confianza permite ver que la CA queda en el apartado Usuario. Y me temo que el problema es que debería ir al apartado de Sistema.

https://support.google.com/nexus/answer/2844832?hl=es

Habría que rootear el dispositivo, por lo que leí por ahí.

bellera

Abierto hilo en inglés, https://forum.pfsense.org/index.php?topic=74177

bellera

Pruebas con iOS (concretamente iPAD):

• Safari admite descargar e instalar www.midominio.tld/MiAutoridadCertificadora.der

• En Configuración / General / Perfil puede verse la CA añadida.

• Chrome para iOS no admite la descarga de archivos de certificado (sean pem o der) y ADEMÁS no admite CAs añadidas:

http://apple.stackexchange.com/questions/103157/certificate-error-when-using-chrome-for-ios-with-company-ca

anmr2380

te comento que mi tablet esta rooteada voy a probar poniendo el certificado como de sistema a ver como funciona o tuya lo hicistes bellera

bellera

Ya dirás como te fue la prueba. No tengo ni la tablet ni el móvil (celular) rooteado.

Mi entorno es cada vez más BYOD (http://es.wikipedia.org/wiki/BYOD), con lo que no puedo ir tan allá con mis usuarios.

**Podía decirles que el CA era obligatorio e informarles de que su SSL iba a ser abierto por un equipo de inspección automatizada (requisito legal)…

pero al final decidí que voy a entrar en producción en modo NO transparente.**

Como siempre, vaya. Pero con la notable diferencia que supone poder activar el proxy en cualquiera de las interfases de pfSense y tener el configurador web que parece trabajar bastante fino al actualizar patrones de squidGuard.

Hasta ahora el proxy era externo a pfSense, con lo que la interfase que lo soportaba tenía bastante más trabajo que las otras. Y, además, era un squid 2.x. Ya le tocaba, vaya.

anmr2380

saludos bellera

lamento la ausencia pero el trabajo estos meses me tiene ocupado pero ya volvere

avandone el trabajo con ssl desde la tablet porque mi hija me daño la tablet la dejo caer y me quede sin tablet por el momento

cuando compre otro volvere con el trabajo

mil disculpa

victorse

Saludos,
he seguido este tema y tambien tengo el mismo problema con el CA en Android… he buscado información referente a este tema y no consigo resolverlo.... quisiera saber si alguno de Uds.. tiene novedades sobre esta inquietud.. gracias por su atención y respuesta

bellera

Entiendo que no se trata de un problema. Es una característica del diseño de Android. Hay que rootearlo para poder instalar certificados no-oficiales.