[Resolvido] Erro certificado - JusBrasil
-
Boa tarde,
Nossa configuração é praticamente a mesma e não tenho problemas com essas páginas.
Portanto, este será um problema de configuração no Squid, acho que o mesmo usa https (MITM)?
-
Estou utilizando meu pfSense com HTTPS.
Utilizo filtro SSL, porém não é transparente, faço autenticação via LDAP no meu AD.As configurações estão da seguinte forma:
HTTPS/SSL Interception: Enable
SSL/MITM Mode: Splice All
SSL Proxy Port: 3129
SSL Proxy Compatibility: Modern
CA: Certificado que utilizo na autenticação do HTTPS do pfSense
SSL Certificate Children: 100
Remote Cert Checks: Apenas a primeira opção (Accept remote server certificate with errors)
Certificate Adapt: As duas primeiras opções (Sets the "Not After" e Sets the "Not Before")
Desde já, muito obrigado pela ajuda.
-
A configuração parece boa à primeira vista, apenas a certificação dessas páginas tem esse problema?
(originalmente, dois deles certificado Let'sEnc. e um certificado CloudFlare ..)
Você já tentou personalizar essas páginas?tal como:
-
Eu não consigo entender exatamente o que está sendo feito, portanto não sei como devo montar este custom.
O que uma linha como essa significa?
acl splice_it ssl::server_name .akadns.netEu fiz uma específica para a URL do JusBrasil, e não funcionou, continua o mesmo erro, conforme imagem abaixo:
Só gostaria de observar que, alguns sites abrem, porém o certificado fica com erro, como na imagem abaixo:
Quando verifico o certificado com erro, como no site https://www.gov.br ele mostra da seguinte forma:
-
Experimente o certificado interno fazendo diretamente para o Squid, por exemplo (a mim parece que o problema esta com o gov.br cert. transformado):
-
Fiz um certificado, somente para usar no Squid. Mesmo problema.
para o site gov.br continua apresentando certificado inválido igual na imagem acima e o JusBrasil continua sem acesso.Olhando o acesso no arquivo de logs do squid access.log, ele retorna a seguinte mensagem:
-
Após a conversão, você verá o certificado Squid no cabeçalho https, não o gov.br, se calhar, aqui está o problema....
Bypass Squid: quando abre a página de Portugal, pode ver este:
Você tem a opção de experimentar abrir os sites problemáticos a partir de outros ISP?
-
Realizei a troca do provedor de internet e mesmo assim não funcionou.
Não entendi quando diz "Após realizar a conversão", converter o que?
Sobre o certificado, estou vendo que o seu não mostra o certificado que coloca na CA do Squid. Como naquela imagem do erro de certificado que mostrei do meu, ele da erro e aponta para o certificado que uso lá no Squid, já o seu não, pelo visto está usando o certificado do site mesmo "GlobalSign RSA OV SSL CA 2018".
-
Uma novidade:
Acessei o Commom ACL no SquidGuard e para teste coloquei o Default Access [all] como Allow, e isso fez com que os erros parassem, tudo voltou a acessar normal sem erro em certificado.Sei que a resposta pode ser simples "tem algo sendo bloqueado então", mas não faço bloqueio nessa página, por padrão eu coloco "deny para all" e em cada categoria faço as liberações.
-
Estou apenas a experimentar em uma VM para que eu possa produzir a tua problema
Desliguei o Squid, liguei novamente e sempre funciona ...
basta olhar para isso !!!
Acho que devemos continuar com o Squid Guard
-
Eiiiii sim o SquidGuard, tu chegaste lá um pouco mais cedo
-
Então, já entendi e localizei que o problema está no SquidGuard.
O meu é configurado assim:
No commom, eu deixo tudo bloqueado, para que as liberações sejam realizadas via a Groups ACL.Na Groups ACL eu liberei tudo e mesmo assim manteve o problema, portanto, defini que o erro ocorre por causa de algum bloqueio realizado pela Commom.
Verifiquei o arquivo block.log do SquidGuard e ele retorna a seguinte mensagem:
2020-05-15 14:34:11 [35584] Request(default/none/-) www.jusbrasil.com.br:443 10.172.10.107/term-59.grupo.net - CONNECT REDIRECTComo trato uma liberação de algo que não cai em nenhuma categoria?
-
@alexandre-angeli said in Erro certificado - JusBrasil:
Como trato uma liberação de algo que não cai em nenhuma categoria?
Os testes estão ficando cada vez mais interessantes, apenas assista... ... - (dois sites problemáticos estão a funcionar bem na VM e um está com defeito)
Tentaste definir o Modo de compatibilidade de proxy SSL como Intermediário?
(será uma boa pergunta e sei que é simples de qualquer maneira) -
Sim, já tentei alterar para Intermediário, mas o problema persiste.
No meu caso, o erro aparece apenas desta forma:
-
Pelo que estou entendendo, os sites .gov é que dão erro de certificado.
iti.gov.br
Tentei colocar na Commom a categoria blk_BL_government como WhiteList mas sem solução. E foi até meio bobeira, já que comprovei que o bloqueio não cai em nenhuma categoria.
-
agora que estava experimentando a configuração do Squid + SGuard, havia um problema semelhante com o Discord, fiz e resolvi com isso:
-
hmmmmmmm ?????
-
será um erro especial, se você acha que podemos investigar juntos, mas isto vai demorar um pouco
-
hahahahaha.. Cada vez não consigo entender mais.
Na Whitelist tinha jusbrasil.com.br quando removi, ele passou a funcionar.
Adicionei gov.br e isso resolveu o problema dos certificados dos outros sites, MENOS o gov.br -
sim, fica cada vez mais complicado, mas no final será fácil e vamos nos divertir
