Erro de certificado em pag HTTPS quando squidguard é habilitado pf 2.3

verisjuliano · Jun 1, 2016, 12:37 PM

Bom dia pessoal estou implementando um firewall, e estou com o seguinte problema..

Eu subi o Squid com proxy transparente, gerei o certificado interno, exportei pra máquina, adicionei o facebook na blacklist, e os bloqueios HTTPS funcionam normalmente sem erro de certificado.

Porém quando eu starto o squidguard e vou testar as páginas em https aí começa a dar erro de certificado nas páginas: NET::ERR_CERT_COMMON_NAME_INVALID.. Se eu paro o squidguard, os bloqueios https voltam a funcionar perfeitamente sem erro de certificado através do Squid..
Fiz todas as configurações no Squid inclusive:

Remote Cert Checks: marcar as opções Accept remote server certificate with erros / Do not verify remote certificate

Certificate Adapter: Sets the "not before" (setValidBefore)

Integrations: url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;url_rewrite_bypass off;url_rewrite_children 16 startup=8 idle=4 concurrency=0
Custom ACLS (Before Auth):
always_direct allow all
ssl_bump server-first all

Pergunta: existe alguma configuração mais específica, ou algo que eu possa fazer para não gerar os erros de certificado nas páginas https quando eu habilito o squidguard?

–----------
Versão do PFsense: 2.3.1-RELEASE-p1 (i386)
built on Wed May 25 14:53:12 CDT 2016
FreeBSD 10.3-RELEASE-p3

Squid versão: 0.4.16_2
SquidGuard versão: 1.14_3

Thanus · May 29, 2016, 10:53 PM

Estou com o mesmo problema.
Estou usando a versão 2.3.1-RELEASE (amd64)
built on Tue May 17 18:46:53 CDT 2016
FreeBSD 10.3-RELEASE-p3
squid 0.4.16_2
squidguard-1.4_15
Ele sempre me traz para essa página.
O proprietário do www.google.com configurou este site incorretamente.
Para proteger suas informações de serem roubadas, o Firefox não se conectou a ele.
Este site usa HTTP Strict Transport Security (HSTS) para indicar que o Firefox deve se conectar a ele apenas de forma segura.
Como resultado, não é possível adicionar exceções para este certificado.
Código de erro: SSL_ERROR_BAD_CERT_DOMAIN
Já tentei adicionar na whitlist só do squid, e tambem no SquidGuard
Não consigo liberar os sites por https como google, yahoo, hotmail, outlook.com, login.live.com, msn,com

tomaswaldow · May 30, 2016, 11:33 AM

Muda para proxy ativo!

verisjuliano · May 30, 2016, 12:22 PM

Bom dia Tomas, a questão é que o cliente não quer setar o proxy nos navegadores.. tem alguma idéia do que possa ser, algo com a versão nova?

tomaswaldow · May 30, 2016, 12:52 PM

Sempre usei WPAD para não precisar informar manualmente o proxy nos navegadores, nunca tive problema.

verisjuliano · Jun 1, 2016, 12:39 PM

Bom dia Senhores,

É realmente BUG da versão 2.3, ontem subi um pfsense na versão 2.2.6 e não deu os erros em páginas HTTPS quando o squidguard era habilitado..

Ficamos aí torcendo pra comunidade lançar uma nova versão pra corrigir o BUG..

rafcruz · Jun 15, 2016, 9:48 PM

Estou enfrentando a mesma dificuldade… :'( :'(

geyson_santana · Jun 17, 2016, 3:21 AM

Olá,

Ainda estou utilizando a versão 2.2.6, pois a versão 2.3.1 apresenta esse problema (erro HSTS) nas páginas https.

Mas, caso alguém queira utilizá-lo, se desabilitar a opção Do not allow IP-Addresses in URL nas suas Group ACL do SquidGuard ele volta a funcionar.

:P

maxwelber · Jun 18, 2016, 7:56 PM

Segui a recomendação do geyson_santana e mesmo assim persisti o erro, alguém já viu ou já corrigiu esse erro?

tyronepm · Jul 2, 2016, 1:28 PM

Bom dia pessoal

Estou tendo a mesma dificuldade relata. Alguém tem o link para baixar a versão 2.2.6 enquanto não surge uma solução para a versão 2.3.1?

Obrigado e um abração

Tyrone

aroldobossoni · Jul 4, 2016, 2:15 PM

Estou com esse problema também.

Porem o meu chegou a funcionar, mas quando mexo em alguma configuração ele para.

Como o bloqueio está funcionando só a pagina de erro está com defeito estou considerando a possibilidade de utilizar essa versão até sair correção.

Reparem que a pagina de erro do squid mostra o horário em UTC 0 e o resto do sistema está em UTC -3

Mais eu acho que o bug está resultando em um certificado com um endereço errado. Se vocês repararem iram perceber que o certificado é gerado para o endereço "http" e só isso quanto o correto seria para "https://facebook.com"

chipbr · Jul 5, 2016, 8:34 PM

Tenho o mesmo problema.

Funciona tudo OK (ou seja, ele bloqueia como deveria) mas aparece uma mensagem genérica do navegador com erro de certificado, e não uma página do squidguard dizendo que foi bloqueado (como acontece em HTTP).

Apesar de funcionar, é chato pois o usuário fica nos abrindo chamado dizendo que o site está "com defeito", ao invés de receber um aviso que a política da empresa não o permite acessar.

Ficaria 100% o 2.3.1 se resolvessem esse bug ou tivesse algum contorno

Danilo Souza · Jul 6, 2016, 12:12 PM

@verisjuliano:

Bom dia Senhores,

É realmente BUG da versão 2.3, ontem subi um pfsense na versão 2.2.6 e não deu os erros em páginas HTTPS quando o squidguard era habilitado..

Ficamos aí torcendo pra comunidade lançar uma nova versão pra corrigir o BUG..

Poderia disponibilizar o link da versão 2.2.6?

maxwelber · Jul 8, 2016, 9:23 PM

Senhores percebi esse comportamento somente quando estou com a regra defualt do squidguard como bloqueada, quando inverto de bloqueio a categoria social network e deixo restante liberado tudo funciona normal.

chipbr · Jul 9, 2016, 10:52 AM

@maxwelber:

Senhores percebi esse comportamento somente quando estou com a regra defualt do squidguard como bloqueada, quando inverto de bloqueio a categoria social network e deixo restante liberado tudo funciona normal.

não procede.
estou com 2 instalações com este problema, e nas duas o default do squidguard é ALLOW
a unica q é block é justamente a de redes sociais.

e aqui ainda aparece o erro de certificado.

marcelloc · Jul 12, 2016, 11:35 PM

@verisjuliano:

Fiz todas as configurações no Squid inclusive:

Remote Cert Checks: marcar as opções Accept remote server certificate with erros / Do not verify remote certificate

Extremamente perigoso! Não deixar o usuário escolher se ele quer ou não acessar um site com problemas de certificado pode mascarar um servidor comprometido

@verisjuliano:

Custom ACLS (Before Auth):
always_direct allow all
ssl_bump server-first all

Essa configuração já está presente no pacote. Não precisa incluir nas custom acls

@verisjuliano:

Pergunta: existe alguma configuração mais específica, ou algo que eu possa fazer para não gerar os erros de certificado nas páginas https quando eu habilito o squidguard?

Veja qual é o site gerado no certificado e qual é o site que o navegador está tentando acessar.

Provavelmente o erro que recebe é da validação do certificado para a página de erro do squidguard.

chipbr · Jul 13, 2016, 4:19 PM

Tenho o mesmo problema.

Fazendo exatamente a mesma configuração no pfsense 2.6, o problema não ocorre.
Somente no 2.3.1

Danilo Souza · Jul 14, 2016, 5:04 PM

Por acaso teria o link para baixar a versão 2.6?

filipesilva · Nov 25, 2016, 8:44 PM

Alguem consegui-o alguma solução para esse caso?

danilosv.03 · Nov 26, 2016, 11:56 AM

@Filipe:

Alguem consegui-o alguma solução para esse caso?

O que mais tem é solução para esse caso meu amigo. Você não está conseguindo gerar a certificação para os bloqueios das páginas HTTPS?