Erro em acessa alguns sites HTTPS



  • Prezados,

    Possuo pfsense v2.3.4 como maquina virtual com Squid + Squidguard + integrado com AD com proxy transparente, estava funcionado perfeitamente depois que alguns usuarios começaram relata problemas em acessa alguns site HTTPS, e exibido uma mensagem de erro ao acessa este sites

    O seguinte erro foi encontrado ao tentar recuperar a URL: https://www.fedex.com/*

    Falha ao estabelecer uma conexão segura com 104.80.1.146

    The system returned:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
    Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

    Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

    Alguém passou por este problema?



  • @admclayton:

    Prezados,

    Possuo pfsense v2.3.4 como maquina virtual com Squid + Squidguard + integrado com AD com proxy transparente, estava funcionado perfeitamente depois que alguns usuarios começaram relata problemas em acessa alguns site HTTPS, e exibido uma mensagem de erro ao acessa este sites

    O seguinte erro foi encontrado ao tentar recuperar a URL: https://www.fedex.com/*

    Falha ao estabelecer uma conexão segura com 104.80.1.146

    The system returned:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
    Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

    Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

    Alguém passou por este problema?

    O sites que apresentam esse "problema" tera que fazer bypass



  • Para utilizar bypass terem que ativa proxy transparente e eu não estou usado o proxy transparente.



  • @admclayton:

    Para utilizar bypass terem que ativa proxy transparente e eu não estou usado o proxy transparente.

    No seu post inicial você fala de proxy transparente, por isso que dei a resposta.

    @admclayton:

    Prezados,

    Possuo pfsense v2.3.4 como maquina virtual com Squid + Squidguard + integrado com AD com proxy transparente, estava funcionado perfeitamente depois que alguns usuarios começaram relata problemas em acessa alguns site HTTPS, e exibido uma mensagem de erro ao acessa este sites

    O seguinte erro foi encontrado ao tentar recuperar a URL: https://www.fedex.com/*

    Falha ao estabelecer uma conexão segura com 104.80.1.146

    The system returned:

    (92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
    Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

    Este proxy e o host remoto falharam em negociar uma configuração de segurança aceitável entre si para atender sua requisição. É possível que o host remoto não suporte conexões seguras ou que o proxy não está satisfeito com as credenciais de segurança do host.

    Alguém passou por este problema?



  • Foi mesmo, errei na descrição do post, não utilizo proxy transparente no meu pfsense.
    Mas o erro no site persisti, alguem já passou por este problema.
    Ja coloquei url e o ip na whitelist não resolveu.



  • @admclayton:

    Foi mesmo, errei na descrição do post, não utilizo proxy transparente no meu pfsense.
    Mas o erro no site persisti, alguem já passou por este problema.
    Ja coloquei url e o ip na whitelist não resolveu.

    cara, a quanto tempo você utiliza esse sistema ou ativou o proxy.

    vou ser bem sincero, no modo bump é insuportavel utilizar o squid.. eu não sei como as pessoas lançam os tutoriais e não mencionam antes o inferno que você irá passar se implantar..  80% dos sites com ssl não irão funcionar… receita.. etc... tudo pau de handshake, você vai ficar maluco de tanto remendo (bypass).

    sugiro que utilize splice_all



  • Eu tentei usar a Interceptação SSL mas desisti, deixou a navegação lenta e me dava muito trabalho, tem alguns sites que não funciona de jeito nenhum ai vc precisa.
    No SquidGuard  em Target criar uma categoria por Exemplo: Liberadosgeral colocar todos os sites que dão esse erro e em Common ACL você coloca essa mesma categoria em Whitelist.

    No Squid proxy Server ACL em Whitelist coloque os mesmos sites que colocou em Liberados geral (Cuidado com a separação de cada site no Squid pula linha já no Squidguard é espaço).



  • @admclayton Tópico antigo mas mesmo assim vou responder. Tive o problema e resolvi colocando em SSL Proxy Compatibility Mode a opção Intermediate. Isso usando squid transparente + SSL certificado.
    erro-squid.png



  • Show! Obrigado.



  • Bom dia!

    Passei pela mesma experiência, resolveu pra mim também, obrigado!

    Só uma dúvida, isso pode impactar na segurança ?


Log in to reply