Pfsense 2.3.1 + Squid Transparent + Certificado LetsEncrypt


  • Boa tarde.

    Estou com problemas em Filtrar HTTPs com Squid em Modo Transparente, ao ativar HTTPS/SSL Interception e informar a CA importada o serviço não sobe e o log informa o erro:

    Bungled /usr/local/etc/squid/squid.conf line 6: https_port 127.0.0.1:3129 intercept

    /pkg_edit.php: O comando '/usr/local/sbin/squid -f /usr/local/etc/squid/squid.conf' retornou o código de saída '1', a saída foi '2016/07/08 15:07:39| FATAL: tproxy/intercept on https_port requires ssl-bump which is missing. FATAL: Bungled /usr/local/etc/squid/squid.conf line 6: https_port 127.0.0.1:3129 intercept Squid Cache (Version 3.5.19): Terminated abnormally. CPU Usage: 0.011 seconds = 0.011 user + 0.000 sys Maximum Resident Size: 39696 KB Page faults with physical i/o: 0'

    Criamos um certificado para o nosso domínio pela letsencrypt.org e foram gerados os arquivos:


    fullchain.cer
    ca.cer
    Servidor.Dominio.cer
    Servidor.Dominio.csr
    Servidor.Dominio.key


    Importamos o arquivo ca.cer em Cert Manager / CAs
    Importamos os arquivos Servidor.Dominio.cer e  Servidor.Dominio.key em Cert Manager / Certificados

    Tentamos contornar o problema incluindo os parâmetros abaixo no campo Custom ACLS (Before Auth) mas não funcionou
    always_direct allow all
    https_port 3129 intercept ssl-bump key=/root/Servidor.Dominio.key cert=/root/Servidor.Dominio.cer cafile=/root/ca.cer

    Por favor nos informe se é possível usar o Squid Transparente com um Certificado Válido e o que devemos fazer para contornar o problema.

    Obrigado.

    Pfsense 2.3.1 64bits
    Squid 0.4.21


  • Quero acompanhar esse tópico.


  • É possível usar Certificado Válido no Squid Transparente para filtrar HTTPS?


  • @catatau77:

    É possível usar Certificado Válido no Squid Transparente para filtrar HTTPS?

    Não, pois no caso não é certificado de usuário, e sim de uma CA.


  • O squid assina os sites com uma CA, como o Thomas já postou. Pelo menos até hoje, não conheço nenhuma unidade certificadora que venda uma sub CA. Isso seria a porta para invalidar a CA raiz, já que seria possível assinar qualquer site com a CA de segundo ou terceiro nível entregue.


  • @marcelloc:

    O squid assina os sites com uma CA, como o Thomas já postou. Pelo menos até hoje, não conheço nenhuma unidade certificadora que venda uma sub CA. Isso seria a porta para invalidar a CA raiz, já que seria possível assinar qualquer site com a CA de segundo ou terceiro nível entregue.

    Buenas, está vivo ainda? rsrs Faz tempo que não passa por aqui!!


  • Obrigado pelas respostas.
    Tenho que dar acesso a alunos de uma escola, que dica vocês me dão quanto ao acesso de páginas https?
    Http é tranquilo com squidguard mas o https fica difícil já que terei que usar proxy transparente e me parece inviável instalar certificado não válido em todos os equipamentos particulares dos alunos.
    Fico grato com a ajuda.


  • Uma opção seria usar nxFilter, não é a melhor mas pra quem não tem nada.


  • Vou dar uma olhada nesse NxFilter,  não conheço.
    Obrigado