BLOQUEO DE HTTPS CON MAN IN THE MIDDLE
-
Hola buenas tardes,
He estado intentando hacer este filtro de https con el proxy de squid, he seguido el siguiente manual y videotutorial
https://turbofuture.com/internet/Intercepting-HTTPS-Traffic-Using-the-Squid-Proxy-in-pfSense
Youtube VideoPero me quedo atorado en la parte de instalar el certificado en unas de las computadoras de la red, me sale el error que no es confiable y que el certificado solamente es valido para http.
Codigo de error SEC_ERROR_UNKNOWN_ISSUER
alguien le a pasado esto ??
Saludos
-
En los clientes debes instalar tu certificado de autoridad,
https://forum.pfsense.org/index.php?topic=73007.msg402538#msg402538
Google SEC_ERROR_UNKNOWN_ISSUER
-
Hola gracias por contestar…
Ya he emitido mi Certificado Interno y también lo he descargado, lo instale en la PC que va a salir por el proxy pero aún así sigue marcando ese error...
Que puedo estar haciendo mal??
Utilizo la version 2.3.2, alguna pantalla en especifico que pueda poner aquí para proveer más información '?
-
Según me comentaron por otro lado, que Man in the Middle a partir de este año ya no funcionaba con CA creados por uno mismo, qué hay de cierto en eso ??
De verdad tengo que comprar un CA para mi LAN ??
-
Ok… ya funciona
pero el detalle es que tuve que desactivar el SquidGuard...
Intentaré seguir nuevamente el manual para integrarlo
en teoría no debe causar problema si uso el Blacklist directamente en el Squid y también las listas del SquidGuard o si?
-
Si definitivamente, el problema del Error del certificado en los clientes (Pcs), es causado por el SquidGuard..
Alguien que pueda revisar esta configuración…
-
OK, me rindo… utilizaré Proxy NO TRANSPARENTE, y crearé una política de la escuela, que esté incluida en el reglamento.
-
Buen día
Pienso en mi experiencia que el proxy transparente con SSL no es muy elegante y supone riesgos, además es complejo de tratar por todos los inconvenientes con los certificados, mi sugerencia es que lo trabajes explicito, además tienes 2 opciones para automatizar el proceso: la primera es a través de GPO de AD, y la segunda que es la más recomendable por si no hay dominio es WPAD
-
donde puedo ver mas información sobre eso de WPAD, ya que no existe un dominio, y la verdad estoy por empezar con las secciones de las VLAN a gran escala, serán muchos usuarios los que tendría que configurar el proxy
-
https://forum.pfsense.org/index.php?topic=23409.0 (Encontrar el proxy externo, WPAD (Web Proxy Autodiscovery Protocol))
https://forum.pfsense.org/index.php?topic=112715
-
Excelente gracias ppt !