Installer un certificat SSL pour filtrage Squid proxy



  • Bonjour à tous,

    Je rencontre un problème actuellement.
    J'utilise Pfsense avec le paquet Squid proxy. Cela fonctionne très bien en HTTP, le filtrage se fait.
    Je souhaiterais aussi pouvoir filtrer les pages HTTPS.
    J'ai créé mon certificat dans pfsense, le problème par ce système est qu'il faut que j'installe mon certificat sur tous les postes du parc pour ne pas avoir un message du type "attention, certificat non vérifié", hors c'est impossible dans mon cas car le parc est énorme et j'ai beaucoup de connexions wifi avec des postes extérieur au réseau.

    Est - il donc possible d'installer un certificat vérifié payant (type Global Sygn) ou gratuit (type Let's Encrypt) sur mon pfsense pour que toutes mes pages HTTPS soit validés par ces autorités de confiance ?
    Tout cela bien-sur avec une IP interne.
    Si non, es-ce possible de validé un certificat sur un domaine "blabla.com" et de l'utiliser après pour tous les sites consultés ?

    Merci de m'éclairer, je vous avoue ne pas trop connaitre le système de ces certificats…  ???
    Cordialement,
    Gaëtan  ;)



  • Merci de m'éclairer, je vous avoue ne pas trop connaitre le système de ces certificats…

    En effet.

    Je rencontre un problème actuellement.

    Ce dont vous nous parlez c'est d'une solution que vous essayez de mettre en place pour un besoin que vous n'avez pas expliqué.

    Et vous ne vous fatiguez pas trop non plus à chercher. Je vous conseille la lecture du post qui précède le votre ainsi que des liens qui s'y trouvent. La vie va vous paraitre beaucoup plus simple ensuite.



  • Un forum est un lieu où on peut pose une question (afin d'obtenir une aide ou des réponses).
    Mais ça ne sert à RIEN si on ne commence pas par chercher si la question a déjà été posée !

    Là, une question identique a été posée le matin même !
    Ca en dit long sur la recherche … à la fois sur la question et sur le sujet.

    hors c'est impossible dans mon cas car le parc est énorme

    Or et non hors ! C'est quoi un parc énorme ? 30 postes, 50, 100, 200, 500, … ?
    Et avez vous multiplié par le nombre de navigateurs ?



  • C'est quoi un parc énorme ? 30 postes, 50, 100, 200, 500, … ?

    Tu fais bien de poser la question. Chez un de mes clients un parc énorme c'est >100 000 collaborateurs. Et pourtant il déploie une autorité de certification interne. Et il ne fait pas d'interception SSL.
    Si parc énorme il y a, en général les moyens et les compétences sont disponibles en interne. Paradoxal tout cela …



  • En effet, ce qui compte vraiment ce n'est pas la taille, c'est l'expertise.

    Il y a plus de 5 ans, dans mon entreprise, j'ai choisi pfSense pour 3 sites.
    Aujourd'hui, après avoir intégré un groupe, il y a plus de 10 sites.
    Et nous allons changer progressivement pour une marque de firewall 'certifiés' par l'ANSII, pour plein de raisons.
    (Raisons … auxquelles je souscris, en particulier le besoin d'avoir un matériel certifié.)

    De la même façon que, ce n'est pas l'appareil qui fait la photo, ce n'est pas le firewall qui fait la sécurité !
    (et d'ailleurs le firewall n'est qu'un élément parmi d'autres de la sécurité.)
    Ce n'est pas la certification, c'est l'expertise de celui qui configure le firewall qui en fait un élément sûr.

    C'est pour cela qu'il faut d'abord

    • comprendre ce qu'on veut,
    • comprendre comment il faut le faire,
    • pour enfin, adapter à la situation la bonne méthode et les bons réglages.

    Le forum est un assez bon témoignage que le plus difficile est ... la première étape ...

    (J'ai écrit expertise pas expérience : proverbe chinois : l'expérience est une lampe allumée dans le dos !)



  • @ccnet:

    C'est quoi un parc énorme ? 30 postes, 50, 100, 200, 500, … ?

    Tu fais bien de poser la question. Chez un de mes clients un parc énorme c'est >100 000 collaborateurs. Et pourtant il déploie une autorité de certification interne. Et il ne fait pas d'interception SSL.
    Si parc énorme il y a, en général les moyens et les compétences sont disponibles en interne. Paradoxal tout cela …

    "énorme" est proportionnel à la taille et aux compétences de l'équipe qui gère le parc.

    Dans une entreprise qui n'a pas encore muri sa réflexion sur l’organisation de son service informatique, mais qui, parce que c'est facile de le faire sans vraies compétences, a déployé quelques serveurs et deux ou trois centaines de postes, les problématiques autours de l'administration de ces postes clients deviennent rapidement importantes.

    D'où des questions et des approches qui semblent totalement hérétiques aux spécialistes que vous êtes  8)

    Les notions de certificat, de PKI ou de GPO ne sont souvent pas dans le bagage du comptable ou du responsable de la maintenance qui en parallèle de son travail quotidien, s'occupe d'installer, en fonction des demandes, des bouts de solutions "informatiques" aux besoins… lorsque c'est le besoin qui est exprimé, ce qui n'est pas non plus souvent le cas.



  • (Eh oui il ne manquait plus que Chris1496, qui, pour exister, vient, à son habitude, contredire …)

    hérétiques

    Qui a parlé avec ce qualitatif (sauf vous) ? Pas nous !

    Pour illustrer ma réponse (et le raisonnement), je prends un exemple qui m'est arrivé :

    • mon chef voit la liste des certificats créés pour accéder en OpenVpn
    • il me demande pourquoi je n'ai pas supprimé les certificats des personnes qui ont quitté l'entreprise
    • je lui répond assez mal et assez vaguement
    • devant un consultant qui va nous fournir les nouveaux firewall, il réitère la question
    • le consultant dit 'oui, pourquoi' ?
    • et là, je donne la juste réponse
    • et le consultant dit  'ah oui'
      Pour info, il est impossible de créer une CRL correcte si les certificats ont été supprimés, et DONC les certificats, supprimés, restent alors valides jusqu'à leur expiration, pour celui qui les a copiés ! (ce n'est pas DU TOUT l'effet souhaité !)

    En informatique, comme en tout, il y a des choses simples et des choses moins simples.

    On a donc 2 choix, face aux questions :

    • dire 'allez-y'
    • dire la complexité derrière la question

    Nous (ccnet, moi et d'autres …), on essaye d'informer ceux qui posent des questions, en particulier de ce qu'ils n'ont pas même imaginé.
    Vous, vous ne leur dites pas la vérité !

    c'est facile de (le) faire sans vraies compétences

    Cela mêne où quand on dépasse son niveau de compétences ? Il faut le dire, cela finit mal en général.

    Mettre en place un firewall sans compétences ? C'est juste une illusion !

    Mon classement perso des risques :

    • la sauvegarde qui n'a pas fonctionné
    • l'accès non autorisé à des données
    • l'exécution d'un ransomware
      Rien que sur cette liste, on ne peut pas réussir sans compétences !

    Cela me rappelle mon vieil oncle, ancien professeur aux Arts et Metiers : tu veux faire de l'informatique ? Fais des Maths et de la Physique le plus longtemps possible car l'informatique cela s'apprend en 6 mois .. après !



  • @jdh:

    (Eh oui il ne manquait plus que Chris1496, qui, pour exister, vient, à son habitude, contredire …)

    Tu dois être sacrément aigri pour te sentir agressé en permanence  :o
    Je ne contredis pas, j'explique juste que, de mon point de vue bien sûr, le qualificatif d'énorme est avant tout une question de perspective et de compétence.

    @jdh:

    hérétiques

    Qui a parlé avec ce qualitatif (sauf vous) ? Pas nous !

    sorti comme ça de son contexte… tu as raison, ce n'est pas toi, c'est moi qui fait un raccourci rapide.

    @jdh:

    Pour illustrer ma réponse (et le raisonnement), je prends un exemple qui m'est arrivé :

    Je ne comprends pas en quoi ça illustre la discussion  ::)

    @jdh:

    Nous (ccnet, moi et d'autres …), on essaye d'informer ceux qui posent des questions, en particulier de ce qu'ils n'ont pas même imaginé.
    Vous, vous ne leur dites pas la vérité !

    ;D ;D ;D
    Là également c'est une question de perspective et de compétence  :-X

    @jdh:

    c'est facile de (le) faire sans vraies compétences

    Cela mêne où quand on dépasse son niveau de compétences ? Il faut le dire, cela finit mal en général.

    C'est exactement mon propos. tu vois bien que je te contredis pas.

    @jdh:

    Cela me rappelle mon vieil oncle, ancien professeur aux Arts et Metiers : tu veux faire de l'informatique ? Fais des Maths et de la Physique le plus longtemps possible car l'informatique cela s'apprend en 6 mois .. après !

    Ah oui, en effet. 6 mois  :o
    Je ne comprends pas, là non plus, le rapport avec la discussion mais comme je ne voudrais surtout pas que tu ais l'impression que je te contredis, je vais m'abstenir de commenter  :-X

    Et non je n'ai pas besoin de venir poster ici pour exister, fort heureusement  8)



  • @chris4916:

    @ccnet:

    C'est quoi un parc énorme ? 30 postes, 50, 100, 200, 500, … ?

    Tu fais bien de poser la question. Chez un de mes clients un parc énorme c'est >100 000 collaborateurs. Et pourtant il déploie une autorité de certification interne. Et il ne fait pas d'interception SSL.
    Si parc énorme il y a, en général les moyens et les compétences sont disponibles en interne. Paradoxal tout cela …

    "énorme" est proportionnel à la taille et aux compétences de l'équipe qui gère le parc.

    Dans une entreprise qui n'a pas encore muri sa réflexion sur l’organisation de son service informatique, mais qui, parce que c'est facile de le faire sans vraies compétences, a déployé quelques serveurs et deux ou trois centaines de postes, les problématiques autours de l'administration de ces postes clients deviennent rapidement importantes. On a aussi les moyens de faire appel à des compétences externes sur les points difficiles.

    Avec quelques centaines de postes il y a en général "quelques" ressources internes. Ou alors, ce qui est  toujours possible, des managers qui n'ont pas pris la mesure du problème.


Log in to reply