Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Solucionado] Https carga muy lento y da error de certificado

    Español
    2
    5
    7.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      evilside
      last edited by

      Estimados

      Tengo PFsense 2.0.2, con Squid 2.7.9 y Squid Guard. Tengo a todos los clientes usando el proxy a través de la función de auto configuración, he bloqueado el tráfico para que solo puedan navegar por  el proxy quitando la regla por defecto trae el firewall para la interfaz LAN.

      El problema es que cuando los usuarios entran a páginas Https, estas no cargan en el primer intento, solo al segundo y dando un error que indica que no se pudo comprobar el certificado del sitio, luego de omitir esos dos problemas se puede usar la página normalmente.

      Si no utilizo el proxy esto no pasa.

      Vi en el foro que pasaba algo idéntico con PFsense 1.2.3 y Squid 3, se arreglaba con la opción dns_v4_first on de Squid, pero como dije yo uso esa versión 2.
      Vi igual este hilo http://forum.pfsense.org/index.php?topic=20341.0, pero tampoco es para mi versión de PFSense y temo cambiar esos valores.

      ¿Cual puede ser el problema?

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        Google slow squid https site:forum.pfsense.org

        http://forum.pfsense.org/index.php?topic=52735.0

        Todo y que el post es para la versión 3.x de squid puede te sirva. El problema podría ser debido a fallos en la resolución DNS. Revisa bien tu instalación.

        1 Reply Last reply Reply Quote 0
        • E
          evilside
          last edited by

          Gracias bellera

          Ya probé ayer agregar la opción dns_v4_first on en Squid pero no pasó nada.

          Hoy desactivé la opción: "Do not use the DNS Forwarder as a DNS server for the firewall" lo cual mejoró un poco el asunto, ya no hace falta cargar dos veces las páginas en Internet Explorer, a la primera carga pero sigue demorando como 10 segundos e igual da error de certificado.

          Estos son nuevos datos:

          • Si pongo el proxy de manara manual en los navegadores no hay problemas, solo en modo automático.
          • La demora en carga sólo ocurre con Internet Explorer 8/9, con Firefox no pasa nunca, de inmediato muestra error de certificado.
          • En aquellos equipos donde si funciona con Firefox también funciona con Internet Explorer.
          • Todos los que fallan con ambos navegadores tienen Windows 7.
          • Chrome se comporta en todos los equipos exactamente igual que Internet Explorer (Presumo que es porqué ambos usan la configuración Proxy del sistema).

          Según veo en el log del Firewall los equipos están permanentemente intentando acceder al puerto 80 y 443, todos clientes que están usando Internet Explorer o Chome, al parecer esos navegadores siguen intentando salir directamente a Internet en vez de usar el proxy.

          Este es mi archivo wpad.dat:

          function FindProxyForURL(url, host)
          {
                 if (
                     shExpMatch(host, "localhost")
                 ||  isInNet(host, "192.168.1.0",  "255.255.255.0")
                 ||  isInNet(host, "127.0.0.0", "255.0.0.0")
                 ||  shExpMatch(host, "192.168.1.")
                 ||  shExpMatch(host, "127.          " )
                 ||  shExpMatch(host, "*.midominio.cl")
                 ||  isPlainHostName(host)
                 ||  dnsDomainIs(host, ".midominio.cl")

          ) {
                     return "DIRECT";
                   }
                 if (
                     url.substring(0, 5) == "http:"
                 ||  url.substring(0, 6) == "https:"
                 ||  url.substring(0, 4) == "ftp:"
                 ) {
                     return "PROXY 192.168.1.254:3128";
                   }
                 return "PROXY 192.168.1.254:3128";
          }

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            Si pongo el proxy de manera manual en los navegadores no hay problemas, solo en modo automático.

            Um… Intenté hace unos años que el descubrimiento automático funcionara en mi red habitual de trabajo pero me encontré que a pesar de tener pocas variantes de sistema operativo y navegador no había manera que funcionase en todas las máquinas. Por lo que al final lo configuré por URL manual, contra el servidor web interno que tenemos: http://servidor_web_interno/proxy.pac

            De esta forma funciona siempre, puedo cambiar el archivo proxy.pac (wpad.dat) y el archivo no les sirve cuando están fuera del trabajo (más de 400 portátiles).

            Muestra error de certificado.

            Comprueba bien esos equipos. Puede ser una tontería como la fecha/hora del ordenador. Un día me volví loco con esto y sólo era la pila de la BIOS.

            Comprueba que Windows esté correctamente actualizado. Comprueba que el antivirus esté al día y analiza el equipo.

            Comprueba configuración de red con ipconfig /all y nslookup

            Google windows 7 certificate error navigation

            Google windows 7 error certificado

            1 Reply Last reply Reply Quote 0
            • E
              evilside
              last edited by

              Hola ya solucioné el problema del error de certificado. Eran dos cosas: primero, la cache de Squid, agregué los dominios que me daban problemas en las excepciones de la cache y se arregló. Una sola página seguía dando problemas de certificado (www.previred.com), pero noté que solo ocurría con la versión 19 de Firefox y no en IE, por lo cual me despreocupo.

              En este momento se puede acceder bien a las páginas, ya no da error de certificado, el problema sigue siendo la lentitud con que acceden los equipos a páginas https usando la configuración automática de IE. Hice varias pruebas y pude comprobar que con Firefox no ocurre porque este no insiste en salir directo si tiene activada la auto configuración, en cambio IE de forma permanente está intentando acceder primero de forma directa, con lo cual está varios segundos conectando, hasta que se resigna y sale por el proxy, eso ya vendría siendo un problema del navegador y no se puede hacer más al respecto.

              La configuración que propones ballera, (configurando la ruta del script en los navegadores), funciona muy bien, IE deja de intentar acceder directamente dejando limpio el Log del firewall. El único problema es que es más trabajoso, pero bueno no queda otra opción.

              Gracias por la ayuda.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.