Erro de certificado em pag HTTPS quando squidguard é habilitado pf 2.3



  • Bom dia pessoal estou implementando um firewall, e estou com o seguinte problema..

    Eu subi o Squid com proxy transparente, gerei o certificado interno, exportei pra máquina, adicionei o facebook na blacklist, e os bloqueios HTTPS funcionam normalmente sem erro de certificado.

    Porém quando eu starto o squidguard e vou testar as páginas em https aí começa a dar erro de certificado nas páginas: NET::ERR_CERT_COMMON_NAME_INVALID.. Se eu paro o squidguard, os bloqueios https voltam a funcionar perfeitamente sem erro de certificado através do Squid..
    Fiz todas as configurações no Squid inclusive:

    Remote Cert Checks: marcar as opções Accept remote server certificate with erros / Do not verify remote certificate

    Certificate Adapter: Sets the "not before" (setValidBefore)

    Integrations: url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;url_rewrite_bypass off;url_rewrite_children 16 startup=8 idle=4 concurrency=0
    Custom ACLS (Before Auth):
    always_direct allow all
    ssl_bump server-first all

    Pergunta: existe alguma configuração mais específica, ou algo que eu possa fazer para não gerar os erros de certificado nas páginas https quando eu habilito o squidguard?

    –----------
    Versão do PFsense: 2.3.1-RELEASE-p1 (i386)
    built on Wed May 25 14:53:12 CDT 2016
    FreeBSD 10.3-RELEASE-p3

    Squid versão: 0.4.16_2
    SquidGuard versão: 1.14_3



  • Estou com o mesmo problema.
    Estou usando a versão  2.3.1-RELEASE (amd64)
    built on Tue May 17 18:46:53 CDT 2016
    FreeBSD 10.3-RELEASE-p3
    squid 0.4.16_2
    squidguard-1.4_15 
    Ele sempre me traz para essa página.
    O proprietário do www.google.com configurou este site incorretamente.
    Para proteger suas informações de serem roubadas, o Firefox não se conectou a ele.
    Este site usa HTTP  Strict Transport Security (HSTS) para indicar que o Firefox deve se conectar  a ele apenas de forma segura.
    Como resultado, não é possível adicionar exceções para este  certificado.
    Código de erro: SSL_ERROR_BAD_CERT_DOMAIN
    Já tentei adicionar na whitlist só do squid, e tambem no SquidGuard
    Não consigo liberar os sites por https como google, yahoo, hotmail, outlook.com, login.live.com, msn,com



  • Muda para proxy ativo!



  • Bom dia Tomas, a questão é que o cliente não quer setar o proxy nos navegadores.. tem alguma idéia do que possa ser, algo com a versão nova?



  • Sempre usei WPAD para não precisar informar manualmente o proxy nos navegadores, nunca tive problema.



  • Bom dia Senhores,

    É realmente BUG da versão 2.3, ontem subi um pfsense na versão 2.2.6 e não deu os erros em páginas HTTPS quando o squidguard era habilitado..

    Ficamos aí torcendo pra comunidade lançar uma nova versão pra corrigir o BUG..



  • Estou enfrentando a mesma dificuldade… :'( :'(



  • Olá,

    Ainda estou utilizando a versão 2.2.6, pois a versão 2.3.1 apresenta esse problema (erro HSTS) nas páginas https.

    Mas, caso alguém queira utilizá-lo, se desabilitar a opção Do not allow IP-Addresses in URL nas suas  Group ACL do SquidGuard ele volta a funcionar.

    :P



  • Segui a recomendação do geyson_santana e mesmo assim persisti o erro, alguém já viu ou já corrigiu esse erro?



  • Bom dia pessoal

    Estou tendo a mesma dificuldade relata. Alguém tem o link para baixar a versão 2.2.6 enquanto não surge uma solução para a versão 2.3.1?

    Obrigado e um abração

    Tyrone



  • Estou com esse problema também.

    Porem o meu chegou a funcionar, mas quando mexo em alguma configuração ele para.

    Como o bloqueio está funcionando só a pagina de erro está com defeito estou considerando a possibilidade de utilizar essa versão até sair correção.

    Reparem que a pagina de erro do squid mostra o horário em UTC 0 e o resto do sistema está em UTC -3

    Mais eu acho que o bug está resultando em um certificado com um endereço errado. Se vocês repararem iram perceber que o certificado é gerado para o endereço "http" e só isso quanto o correto seria para "https://facebook.com"



  • Tenho o mesmo problema.

    Funciona tudo OK (ou seja, ele bloqueia como deveria) mas aparece uma mensagem genérica do navegador com erro de certificado, e não uma página do squidguard dizendo que foi bloqueado (como acontece em HTTP).

    Apesar de funcionar, é chato pois o usuário fica nos abrindo chamado dizendo que o site está "com defeito", ao invés de receber um aviso que a política da empresa não o permite acessar.

    Ficaria 100% o 2.3.1 se resolvessem esse bug ou tivesse algum contorno



  • @verisjuliano:

    Bom dia Senhores,

    É realmente BUG da versão 2.3, ontem subi um pfsense na versão 2.2.6 e não deu os erros em páginas HTTPS quando o squidguard era habilitado..

    Ficamos aí torcendo pra comunidade lançar uma nova versão pra corrigir o BUG..

    Poderia disponibilizar o link da versão 2.2.6?



  • Senhores percebi esse comportamento somente quando estou com a regra defualt do squidguard como bloqueada, quando inverto de bloqueio a categoria social network e deixo restante liberado tudo funciona normal.



  • @maxwelber:

    Senhores percebi esse comportamento somente quando estou com a regra defualt do squidguard como bloqueada, quando inverto de bloqueio a categoria social network e deixo restante liberado tudo funciona normal.

    não procede.
    estou com 2 instalações com este problema, e nas duas o default do squidguard é ALLOW
    a unica q é block é justamente a de redes sociais.

    e aqui ainda aparece o erro de certificado.



  • @verisjuliano:

    Fiz todas as configurações no Squid inclusive:

    Remote Cert Checks: marcar as opções Accept remote server certificate with erros / Do not verify remote certificate

    Extremamente perigoso! Não deixar o usuário escolher se ele quer ou não acessar um site com problemas de certificado pode mascarar um servidor comprometido

    @verisjuliano:

    Custom ACLS (Before Auth):
    always_direct allow all
    ssl_bump server-first all

    Essa configuração já está presente no pacote. Não precisa incluir nas custom acls

    @verisjuliano:

    Pergunta: existe alguma configuração mais específica, ou algo que eu possa fazer para não gerar os erros de certificado nas páginas https quando eu habilito o squidguard?

    Veja qual é o site gerado no certificado e qual é o site que o navegador está tentando acessar.

    Provavelmente o erro que recebe é da validação do certificado para a página de erro do squidguard.



  • Tenho o mesmo problema.

    Fazendo exatamente a mesma configuração no pfsense 2.6, o problema não ocorre.
    Somente no 2.3.1



  • Por acaso teria o link para baixar a versão 2.6?



  • Alguem consegui-o alguma solução para esse caso?



  • @Filipe:

    Alguem consegui-o alguma solução para esse caso?

    O que mais tem é solução para esse caso meu amigo. Você não está conseguindo gerar a certificação para os bloqueios das páginas HTTPS?



  • Boa tarde, esse erro não aparece somente em problemas ou configurações incorretas, as vezes o erro aparece mesmo quando está tudo ok no PFSense..Verifique como tu instalou o certificado digital.

    Como teste, limpe o cache do Internet Explorer, desinstale o certificado do Proxy de seu micro através do gerenciador e certificados do Windows, pressionando "windows+r > certmgr.msc".

    Após desinstalar, reinstale-o, e na instalação OBRIGATORIAMENTE deve ser selecionado o repositório "Autoridades de Certificação Raíz Confiável", não é só avança avança.

    Verifique se isso lhe ajuda.



  • Estou usando o PFsense 2.3.2 com proxy não transparente, já é a minha 4ª instalação do PFsense e mesmo assim o erro de certificado do SQUIDGUARD em paginas HSTS acontece, quando coloco em transparente desmarcando a opção do do not allow ip… funciona.. mas em modo NÃO TRANSPARENTE não funciona.

    Alguém poderia me ajudar?

    O erro que aparece é:

    O seguinte erro foi encontrado ao tentar recuperar a URL: https://http/*

    Impossível determinar o endereço IP do nome de host http

    O servidor DNS retornou:

    Name Error: The domain name does not exist.
    Isto significa que o cache não pode resolver o nome de host contido na URL. Verifique se o endereço está correto.

    Seu administrador do cache é ...



  • @Filipe:

    Estou usando o PFsense 2.3.2 com proxy não transparente, já é a minha 4ª instalação do PFsense e mesmo assim o erro de certificado do SQUIDGUARD em paginas HSTS acontece, quando coloco em transparente desmarcando a opção do do not allow ip… funciona.. mas em modo NÃO TRANSPARENTE não funciona.

    Alguém poderia me ajudar?

    O erro que aparece é:

    O seguinte erro foi encontrado ao tentar recuperar a URL: https://http/*

    Impossível determinar o endereço IP do nome de host http

    O servidor DNS retornou:

    Name Error: The domain name does not exist.
    Isto significa que o cache não pode resolver o nome de host contido na URL. Verifique se o endereço está correto.

    Seu administrador do cache é ...

    Meu querido isso não é BUG, eu tenho 5 servidores rodando perfeitamente nessa versão e com proxy transparente com interceptação ssl e não encontrei esse problema.
    Acredito que isso seja problema de configuração do seu proxy.



  • Poste para nos uma print das suas configurações de Squid Proxy Server.



  • As minhas configurações do Squid estão conforme essas imagens, não sei porque recebo a mensagem de erro em paginas https










  • Não uso proxy transparente e nem interceptação SSL e o problema ACONTECE.

    No 2.6, com a mesma configuração, NÃO acontece.

    Setups com Squid + Squidguard + autenticação no AD com pf2ad, configurados da mesma forma



  • @chipbr:

    Não uso proxy transparente e nem interceptação SSL e o problema ACONTECE.

    No 2.6, com a mesma configuração, NÃO acontece.

    Setups com Squid + Squidguard + autenticação no AD com pf2ad, configurados da mesma forma

    Deve ser alguma configuração errada. Pois eu tenho 7 bases e todas elas com pfsense com as mesmas configurações e nunca tive problema relacionado.