Problema con HTTPs a través de squid (autenticando por LDAP)



  • Buenas, saludos a todos. Soy nuevo en el foro  :)

    Tengo el pfsense configurado como proxy no transparente, también tenía squidguard para filtrar pero de momento lo he desactivado para ir descartando donde está el problema.
    Digamos que tengo configurado Squid y a un determinado rango de IPs le permite navegar sin autenticar. En este caso no se reproduce el problema.

    Sin embargo, si navego por otro rango de IPs, donde Pfsense me obliga a autenticar (en mi caso por LDAP), se da el caso que las webs que utilizan SSL / TLS como por ejemplo los bancos, Pfsense me marca en los logs como TCP_DENIED las URLs donde se llevan a cabo la validación de los certificados SSL.

    Esto sería un ejemplo:

    
    TCP_DENIED/407 	http://ocsp.godaddy.com//MEgwRjBEMEIwQDAJBgUrDgMCGgUABBS2CA1fbGt26xPkOKX4ZguoUjM0TgQUQMK9J47MNIMwojPX%2B2yz8LQsgM4CBwQLTfEGABM%3D 	- 	-
    TCP_DENIED/407 	http://crl.godaddy.com/gdroot-g2.crl 	- 	-
    TCP_DENIED/407 	http://ocsp.godaddy.com//MEIwQDA%2BMDwwOjAJBgUrDgMCGgUABBQdI2%2BOBkuXH93foRUj4a7lAr4rGwQUOpqFBxBnKLbv9r0FQW4gwZTaD94CAQc%3D 	- 	-
    TCP_DENIED/407 	http://crl.godaddy.com/gdroot.crl 	- 	-
    TCP_DENIED/407 	http://ocsp.godaddy.com//MEQwQjBAMD4wPDAJBgUrDgMCGgUABBTkIInKBAzXkF0Qh0pel3lfHJ9GPAQU0sSw0pHUTBFxs2HLPaH%2B3ahq1OMCAxvnFQ%3D%3D
    TCP_DENIED/407 	http://crl4.digicert.com/DigiCertBaltimoreCA-2G2.crl 	- 	-
    TCP_DENIED/407 	http://crl3.digicert.com/DigiCertBaltimoreCA-2G2.crl 	- 	-
    TCP_DENIED/407 	http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTuqL92L3tjkN67RNFF%2FEdvT6NEzAQUwBKyKHRoRmfpcCV0GgBFWwZ9XEQCEAtZKGtXipg0DWe9lnl2T%2Bc%3D 	- 	-
    TCP_DENIED/407 	http://crl3.digicert.com/Omniroot2025.crl 	- 	-
    TCP_DENIED/407 	http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAGC%2BAmOouYmuRo7J4Qfua8%3D 	- 	-
    
    

    Debido a este problema, en el navegador suele mostrar un mensaje de advertencia que da por saco (no sale siempre, pero casi siempre):

    En el caso de internet explorer el mensaje es este:

    
    La información de revocación del certificado de seguridad de este sitio no está disponible ¿ Desea continuar ?
    
    

    Como se puede apreciar arriba, en dichas páginas no me pone el usuario con el que me he validado por LDAP, simplemente me deniega a todo ese tipo de páginas donde se validan los certificados SSL de las páginas web con HTTPS

    No tengo nada en el Blacklist. En el firewall tengo bloqueado el tráfico HTTP/HTTPS, es decir sólo se puede navegar a través del proxy squid.

    Sé que en el navegador se puede deshabilitar que haga dicha comprobación de revocación de certificados pero me gustaría no hacer eso, ya que el problema viene cuando accedo a internet con Squid validando con LDAP.

    ¿ Alguien sabe como solucionar este problema ?
    Si voy añadiendo esas webs en Whitelist el squid no las deniega validando por LDAP, pero me parece una solución chapucera.

    Gracias,
    Un saludo.



  • Llegaste a solucionarlo ?, tengo el mismo inconveniente. Revisando foros me dice que actualice la versión del Squid, pero ya tengo actualizado todo el PFSense al 2.4.1.



  • Hola, muestra la config de squid.

    A que te refieres a otro rango de IP's?

    Saludos.



  • Hola,

    saludos, pudieron solucionarlo?

    Tengo el mismo incoveniente en mi caso los clientes se configuran atraves de WPAD, pero se presenta el msimo incoveniente a los que les solicita la autenticacion presentan problemas con las paginas https.



  • El post original habla de LDAP como autenticador, pero las paginas en el log no presentan las credenciales username/password.
    Muchas veces los navegadores no envian las credenciales de auth y los proxy por ello la bloquea.

    Esos sitios pongalos en lista blanca.

    Y sin config difiil aportar algo ma, saludos.


Log in to reply