Problemas com https/ssl inspection no Squid3
-
Boa tarde.
Estou exatamente com o mesmo problema. Gostaria de usar o proxy transparente com o HTTPS/SSL Interception ativo para controlar o acesso HTTPS. Porem em algumas paginas aparece o erro do certificado, mesmo eu tendo gerado e instalado o mesmo na maquina cliente.
Vi no tópico https://forum.pfsense.org/index.php?topic=62263.555 que a sugestão seria colocar o IP local no "Bypass Proxy for these Source IPs", realmente funciona, mas logicamente perco o controle HTTPS sobre esse IP >:(
Sobre o WPAD, vi que há problemas de navegação no Android, isso procede?
Ate mais!
-
Sobre o WPAD, vi que há problemas de navegação no Android, isso procede?
Dispositivos moveis não reconhecem, infelizmente.
-
Apenas complementando a resposta.
No ambiente de testes que estou, deixei a opção de "HTTPS/SSL Interception" habilitado e segui os passos do topico https://forum.pfsense.org/index.php?topic=84022.0.
Adicionei em Custom ACLS (Before_Auth):
always_direct allow all
ssl_bump server-first alle para acessar o gmail, utilizado o link https://mail.google.com, conforme foi dito pelo sneeps, funciona perfeitamente.
Dessa forma, os sites que preciso, bancos, face, youtube, gmail estão ok e ainda consigo o controle de acessos deles no squidguard.
é isso, até mais!
-
Eu fiz estes ajustes, mas ao tentar acessar o Facebook pelo Firefox, recebo este erro.
Este site usa HTTP Strict Transport Security (HSTS) para indicar que o Firefox apenas se conecta a ele de forma segura. Como resultado, não é possível adicionar exceções para este certificado.
Valeu !
-
@ivanildogalvao:
Eu fiz estes ajustes, mas ao tentar acessar o Facebook pelo Firefox, recebo este erro.
Este site usa HTTP Strict Transport Security (HSTS) para indicar que o Firefox apenas se conecta a ele de forma segura. Como resultado, não é possível adicionar exceções para este certificado.
Valeu !
Instalei o firefox aqui e deu certo. Antes de acessar porem, instalei o certificado gerado pelo pfsense.
vai em opcoes > avancado > certificados > ver certificados > importar
seleciona o certificado e marca:
- Confiar nesta CA para identificar sites.
- Confiar nesta CA para identificar usuários de e-mail.
- Confiar nesta CA para identificar desenvolvedores de software.
Clica em OK, limpa a cache do firefox e tenta novamente.
Aqui deu certinho nos mesmos sites que ja havia testado no chrome.
abraço!
-
Eu fiz estes procedimentos, mas continuo com erros, chatinho isso !
No Firefox botei as informações do Proxy e a porta 3128, só que a 3129 para a opção SSL.
Valeu !
-
Pessoal, alguém tem mais alguma dica a acrescentar sobre este assunto?
Também estou com o mesmos problemas com hhtps/ssl :/
Chatinho não! Chatão!
Toda hora usuários enchendo a paciência rs
-
Muda para proxy ativo!! :)
-
o meu problema foi so o skype q nao funcionou alguem sabe o pq?
-
o meu problema foi so o skype q nao funcionou alguem sabe o pq?
Porque o Skype não está confiando do certificado gerado pelo pfSense.
-
Via web Skype você deve conseguir. Via app, ele não vai passar porque o protocolo não é http mas usa a porta 443 interceptada.
-
Galera, apenas compartilhando a informação.
Até que enfim resolvi as bronquinhas, graças a Deus :)
Simples, na guia Geral no Squid Proxy Server, no campo Remote Cert Checks, deixe marcado as duas opções, se deixar só uma ou só outra, temos problemas variados de acesso a determinados sites.
Desta forma desaparecem os problemas como sites carregando lentamente, sites que não carregam todas as imagens ou que dão erro de DNS Resolver, entre outras mazelas.
A Interceptação SSL está funcionando perfeitamente, com o SquidGuard barrando o acesso aos sites que usam https, como o Facebook, Twitter, Google, etc.
Valeu !
