Problemas com https/ssl inspection no Squid3

rodrigok2

Apenas complementando a resposta.

No ambiente de testes que estou, deixei a opção de "HTTPS/SSL Interception" habilitado e segui os passos do topico https://forum.pfsense.org/index.php?topic=84022.0.

Adicionei em Custom ACLS (Before_Auth):
always_direct allow all
ssl_bump server-first all

e para acessar o gmail, utilizado o link https://mail.google.com, conforme foi dito pelo sneeps, funciona perfeitamente.

Dessa forma, os sites que preciso, bancos, face, youtube, gmail estão ok e ainda consigo o controle de acessos deles no squidguard.

é isso, até mais!

Itg

Eu fiz estes ajustes, mas ao tentar acessar o Facebook pelo Firefox, recebo este erro.

Este site usa HTTP  Strict Transport Security (HSTS) para indicar que o Firefox apenas se conecta  a ele de forma segura. Como resultado, não é possível adicionar exceções para este certificado.

Valeu !

rodrigok2

@ivanildogalvao:

Eu fiz estes ajustes, mas ao tentar acessar o Facebook pelo Firefox, recebo este erro.

Este site usa HTTP  Strict Transport Security (HSTS) para indicar que o Firefox apenas se conecta  a ele de forma segura. Como resultado, não é possível adicionar exceções para este certificado.

Valeu !

Instalei o firefox aqui e deu certo. Antes de acessar porem, instalei o certificado gerado pelo pfsense.

vai em opcoes > avancado > certificados > ver certificados > importar

seleciona o certificado e marca:

• Confiar nesta CA para identificar sites.
• Confiar nesta CA para identificar usuários de e-mail.
• Confiar nesta CA para identificar desenvolvedores de software.

Clica em OK, limpa a cache do firefox e tenta novamente.

Aqui deu certinho nos mesmos sites que ja havia testado no chrome.

abraço!

Itg

Eu fiz estes procedimentos, mas continuo com erros, chatinho isso !

No Firefox botei as informações do Proxy e a porta 3128, só que a 3129 para a opção SSL.

Valeu !

hugoteleco

Pessoal, alguém tem mais alguma dica a acrescentar sobre este assunto?

Também estou com o mesmos problemas com hhtps/ssl :/

Chatinho não! Chatão!

Toda hora usuários enchendo a paciência rs

tomaswaldow

Muda para proxy ativo!! :)

fabiomartins

o meu problema foi so o skype q nao funcionou alguem sabe o pq?

tomaswaldow

@fabiomartins:

o meu problema foi so o skype q nao funcionou alguem sabe o pq?

Porque o Skype não está confiando do certificado gerado pelo pfSense.

marcelloc

Via web Skype você deve conseguir. Via app, ele não vai passar porque o protocolo não é http mas usa a porta 443 interceptada.

Itg

Galera, apenas compartilhando a informação.

Até que enfim resolvi as bronquinhas, graças a Deus :)

Simples, na guia Geral no Squid Proxy Server, no campo Remote Cert Checks, deixe marcado as duas opções, se deixar só uma ou só outra, temos problemas variados de acesso a determinados sites.

Desta forma desaparecem os problemas como sites carregando lentamente, sites que não carregam todas as imagens ou que dão erro de DNS Resolver, entre outras mazelas.

A Interceptação SSL está funcionando perfeitamente, com o SquidGuard barrando o acesso aos sites que usam https, como o Facebook, Twitter, Google, etc.

Valeu !