Certificato ssl https proxy trasparente



  • Ho bisogno di caricare il certificato per evitare che sui siti https come google appaia il messaggio sui browser per siti https con ceertificato non valido. Qualcuno sa come si procede?



  • ciao, scusa ma non ho capito cosa vorresti fare, mi fai un esempio? grazie



  • Innanzitutto grazie per l'interessamento al mio quesito. Mi spiego meglio, ho installato i pacchetti Squid3-dev e squidguard ed abilitato l' ssl filtering sui siti web in trasparent mode. A questo punto ho creato una ca ed un certificato interno a pfsense e tutto funziona regolarmente. Il punto è che ogni volta che un utente apre una pagina web https (anche google) gli appare il messaggio "connessione non affidabile il certificato non è stato verificato da una…" in questo modo l'utente dovrà cliccare su prosegui. Immagina il panico nelle persone che non sanno cosa fare di fronte a questo messaggio  :) vorrei evitare che appaia. Non potendo inserire in tutti i browser (sono più di 700 macchine proxate da pfsense) il mio certificato locale, come posso risolvere? Devo acquistare un certicato da un ente ufficiale? E poi come si caricherebbe su pfsense?

    Grazie in anticipo.



  • Hai due opzioni:
    a) Far riconoscere il tuo cerficato come affidabile, importandolo in Windows come trusted
    b) Comprarti un certificato da una CA e usare quello

    Occhio che non so se dal punto legislativo italiano la cosa si può fare, perchè stai facendo a tutti gli effetti un attacco MITM (Man In The Middle)



  • L'opzione b mi sembra quella fattibile. Ma, quale è la procedura per acquistare/importare un certificato su pfsense? Questa parte non mi è molto chiara, potrei importare una CA dal certificate manager di pfsense, inserendo i dati di una ca riconosciuta e poi importare un certificato acquistato, in questo modo potrei essere a posto?



  • Ciao,
    ti devi rivolgere a qualche società tipo ssl247, segui l'iter per ottenere il certificato per il tuo dominio e le tue macchine, all'emissione di danno anche il certificato della CA che ha generato i certificati per il tuo dominio. Una volta che hai questi certificati basta importarli in pfSense nel Cert Manager.

    Ciao fabio



  • Secondo me anche con il certificato autentico non funzionerà: è un MITM e quindi il suo certificato sarà valido solo per il suo dominio, non certo per i siti google..

    L'unica soluzione è lavorare sui client magari con una GPO



  • Infatti ti cambia il possessore del certificato, ma viene riconosciuto come legittimo.


Log in to reply