Erro de certificado em pag HTTPS quando squidguard é habilitado pf 2.3
-
Bom dia pessoal estou implementando um firewall, e estou com o seguinte problema..
Eu subi o Squid com proxy transparente, gerei o certificado interno, exportei pra máquina, adicionei o facebook na blacklist, e os bloqueios HTTPS funcionam normalmente sem erro de certificado.
Porém quando eu starto o squidguard e vou testar as páginas em https aí começa a dar erro de certificado nas páginas: NET::ERR_CERT_COMMON_NAME_INVALID.. Se eu paro o squidguard, os bloqueios https voltam a funcionar perfeitamente sem erro de certificado através do Squid..
Fiz todas as configurações no Squid inclusive:Remote Cert Checks: marcar as opções Accept remote server certificate with erros / Do not verify remote certificate
Certificate Adapter: Sets the "not before" (setValidBefore)
Integrations: url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;url_rewrite_bypass off;url_rewrite_children 16 startup=8 idle=4 concurrency=0
Custom ACLS (Before Auth):
always_direct allow all
ssl_bump server-first allPergunta: existe alguma configuração mais específica, ou algo que eu possa fazer para não gerar os erros de certificado nas páginas https quando eu habilito o squidguard?
–----------
Versão do PFsense: 2.3.1-RELEASE-p1 (i386)
built on Wed May 25 14:53:12 CDT 2016
FreeBSD 10.3-RELEASE-p3Squid versão: 0.4.16_2
SquidGuard versão: 1.14_3 -
Estou com o mesmo problema.
Estou usando a versão 2.3.1-RELEASE (amd64)
built on Tue May 17 18:46:53 CDT 2016
FreeBSD 10.3-RELEASE-p3
squid 0.4.16_2
squidguard-1.4_15
Ele sempre me traz para essa página.
O proprietário do www.google.com configurou este site incorretamente.
Para proteger suas informações de serem roubadas, o Firefox não se conectou a ele.
Este site usa HTTP Strict Transport Security (HSTS) para indicar que o Firefox deve se conectar a ele apenas de forma segura.
Como resultado, não é possível adicionar exceções para este certificado.
Código de erro: SSL_ERROR_BAD_CERT_DOMAIN
Já tentei adicionar na whitlist só do squid, e tambem no SquidGuard
Não consigo liberar os sites por https como google, yahoo, hotmail, outlook.com, login.live.com, msn,com -
Muda para proxy ativo!
-
Bom dia Tomas, a questão é que o cliente não quer setar o proxy nos navegadores.. tem alguma idéia do que possa ser, algo com a versão nova?
-
Sempre usei WPAD para não precisar informar manualmente o proxy nos navegadores, nunca tive problema.
-
Bom dia Senhores,
É realmente BUG da versão 2.3, ontem subi um pfsense na versão 2.2.6 e não deu os erros em páginas HTTPS quando o squidguard era habilitado..
Ficamos aí torcendo pra comunidade lançar uma nova versão pra corrigir o BUG..
-
Estou enfrentando a mesma dificuldade… :'( :'(
-
Olá,
Ainda estou utilizando a versão 2.2.6, pois a versão 2.3.1 apresenta esse problema (erro HSTS) nas páginas https.
Mas, caso alguém queira utilizá-lo, se desabilitar a opção Do not allow IP-Addresses in URL nas suas Group ACL do SquidGuard ele volta a funcionar.
:P
-
Segui a recomendação do geyson_santana e mesmo assim persisti o erro, alguém já viu ou já corrigiu esse erro?
-
Bom dia pessoal
Estou tendo a mesma dificuldade relata. Alguém tem o link para baixar a versão 2.2.6 enquanto não surge uma solução para a versão 2.3.1?
Obrigado e um abração
Tyrone
-
Estou com esse problema também.
Porem o meu chegou a funcionar, mas quando mexo em alguma configuração ele para.
Como o bloqueio está funcionando só a pagina de erro está com defeito estou considerando a possibilidade de utilizar essa versão até sair correção.
Reparem que a pagina de erro do squid mostra o horário em UTC 0 e o resto do sistema está em UTC -3
Mais eu acho que o bug está resultando em um certificado com um endereço errado. Se vocês repararem iram perceber que o certificado é gerado para o endereço "http" e só isso quanto o correto seria para "https://facebook.com"
-
Tenho o mesmo problema.
Funciona tudo OK (ou seja, ele bloqueia como deveria) mas aparece uma mensagem genérica do navegador com erro de certificado, e não uma página do squidguard dizendo que foi bloqueado (como acontece em HTTP).
Apesar de funcionar, é chato pois o usuário fica nos abrindo chamado dizendo que o site está "com defeito", ao invés de receber um aviso que a política da empresa não o permite acessar.
Ficaria 100% o 2.3.1 se resolvessem esse bug ou tivesse algum contorno
-
Bom dia Senhores,
É realmente BUG da versão 2.3, ontem subi um pfsense na versão 2.2.6 e não deu os erros em páginas HTTPS quando o squidguard era habilitado..
Ficamos aí torcendo pra comunidade lançar uma nova versão pra corrigir o BUG..
Poderia disponibilizar o link da versão 2.2.6?
-
Senhores percebi esse comportamento somente quando estou com a regra defualt do squidguard como bloqueada, quando inverto de bloqueio a categoria social network e deixo restante liberado tudo funciona normal.
-
Senhores percebi esse comportamento somente quando estou com a regra defualt do squidguard como bloqueada, quando inverto de bloqueio a categoria social network e deixo restante liberado tudo funciona normal.
não procede.
estou com 2 instalações com este problema, e nas duas o default do squidguard é ALLOW
a unica q é block é justamente a de redes sociais.e aqui ainda aparece o erro de certificado.
-
Fiz todas as configurações no Squid inclusive:
Remote Cert Checks: marcar as opções Accept remote server certificate with erros / Do not verify remote certificate
Extremamente perigoso! Não deixar o usuário escolher se ele quer ou não acessar um site com problemas de certificado pode mascarar um servidor comprometido
Custom ACLS (Before Auth):
always_direct allow all
ssl_bump server-first allEssa configuração já está presente no pacote. Não precisa incluir nas custom acls
Pergunta: existe alguma configuração mais específica, ou algo que eu possa fazer para não gerar os erros de certificado nas páginas https quando eu habilito o squidguard?
Veja qual é o site gerado no certificado e qual é o site que o navegador está tentando acessar.
Provavelmente o erro que recebe é da validação do certificado para a página de erro do squidguard.
-
Tenho o mesmo problema.
Fazendo exatamente a mesma configuração no pfsense 2.6, o problema não ocorre.
Somente no 2.3.1 -
Por acaso teria o link para baixar a versão 2.6?
-
Alguem consegui-o alguma solução para esse caso?
-
Alguem consegui-o alguma solução para esse caso?
O que mais tem é solução para esse caso meu amigo. Você não está conseguindo gerar a certificação para os bloqueios das páginas HTTPS?
-
Boa tarde, esse erro não aparece somente em problemas ou configurações incorretas, as vezes o erro aparece mesmo quando está tudo ok no PFSense..Verifique como tu instalou o certificado digital.
Como teste, limpe o cache do Internet Explorer, desinstale o certificado do Proxy de seu micro através do gerenciador e certificados do Windows, pressionando "windows+r > certmgr.msc".
Após desinstalar, reinstale-o, e na instalação OBRIGATORIAMENTE deve ser selecionado o repositório "Autoridades de Certificação Raíz Confiável", não é só avança avança.
Verifique se isso lhe ajuda.
-
Estou usando o PFsense 2.3.2 com proxy não transparente, já é a minha 4ª instalação do PFsense e mesmo assim o erro de certificado do SQUIDGUARD em paginas HSTS acontece, quando coloco em transparente desmarcando a opção do do not allow ip… funciona.. mas em modo NÃO TRANSPARENTE não funciona.
Alguém poderia me ajudar?
O erro que aparece é:
O seguinte erro foi encontrado ao tentar recuperar a URL: https://http/*
Impossível determinar o endereço IP do nome de host http
O servidor DNS retornou:
Name Error: The domain name does not exist.
Isto significa que o cache não pode resolver o nome de host contido na URL. Verifique se o endereço está correto.Seu administrador do cache é ...
-
Estou usando o PFsense 2.3.2 com proxy não transparente, já é a minha 4ª instalação do PFsense e mesmo assim o erro de certificado do SQUIDGUARD em paginas HSTS acontece, quando coloco em transparente desmarcando a opção do do not allow ip… funciona.. mas em modo NÃO TRANSPARENTE não funciona.
Alguém poderia me ajudar?
O erro que aparece é:
O seguinte erro foi encontrado ao tentar recuperar a URL: https://http/*
Impossível determinar o endereço IP do nome de host http
O servidor DNS retornou:
Name Error: The domain name does not exist.
Isto significa que o cache não pode resolver o nome de host contido na URL. Verifique se o endereço está correto.Seu administrador do cache é ...
Meu querido isso não é BUG, eu tenho 5 servidores rodando perfeitamente nessa versão e com proxy transparente com interceptação ssl e não encontrei esse problema.
Acredito que isso seja problema de configuração do seu proxy. -
Poste para nos uma print das suas configurações de Squid Proxy Server.
-
As minhas configurações do Squid estão conforme essas imagens, não sei porque recebo a mensagem de erro em paginas https
-
Não uso proxy transparente e nem interceptação SSL e o problema ACONTECE.
No 2.6, com a mesma configuração, NÃO acontece.
Setups com Squid + Squidguard + autenticação no AD com pf2ad, configurados da mesma forma
-
Não uso proxy transparente e nem interceptação SSL e o problema ACONTECE.
No 2.6, com a mesma configuração, NÃO acontece.
Setups com Squid + Squidguard + autenticação no AD com pf2ad, configurados da mesma forma
Deve ser alguma configuração errada. Pois eu tenho 7 bases e todas elas com pfsense com as mesmas configurações e nunca tive problema relacionado.
