Erro de acesso ao certificado de sites externos.



  • Boa tarde pessoal.

    Tenho utilizado o PFSense e é uma ótima ferramenta.

    Estou com uma dúvida referente a um problema no squid 3.3.10 com filtro de SSL/HTTPS

    Instalei seguindo os passos desse tópico e ficou perfeito o Bloqueio.

    https://forum.pfsense.org/index.php?topic=62263.0

    Todas as máquinas clientes possuem o certificado do proxy instalado e tudo funciona perfeitamente.

    O unico problema é que ao tentar acessar sites que utilizam certificados próprios como a Receita federal e Nota carioca ele não detecta o certificado respectivo. Já fiz o teste e fora do Proxy eles funcionam perfeitamente porém com Proxy conectado ele não detecta os certificados.

    Se alguém puder dar uma ajuda agradeço desde já.

    Um bom final de semana a todos.



  • @felipecarv:

    Boa tarde pessoal.

    Tenho utilizado o PFSense e é uma ótima ferramenta.

    Estou com uma dúvida referente a um problema no squid 3.3.10 com filtro de SSL/HTTPS

    Instalei seguindo os passos desse tópico e ficou perfeito o Bloqueio.

    https://forum.pfsense.org/index.php?topic=62263.0

    Todas as máquinas clientes possuem o certificado do proxy instalado e tudo funciona perfeitamente.

    O unico problema é que ao tentar acessar sites que utilizam certificados próprios como a Receita federal e Nota carioca ele não detecta o certificado respectivo. Já fiz o teste e fora do Proxy eles funcionam perfeitamente porém com Proxy conectado ele não detecta os certificados.

    Se alguém puder dar uma ajuda agradeço desde já.

    Um bom final de semana a todos.

    uma dica? se é de urgencia.. desativa o recurso de SSL.

    Estou com o mesmo problema.. eu acho que é o algoritmo do certificado .

    "Acompanhando"



  • quando tive esse problema fiz a limpeza geral dos navegadores depois disso funcionou.. mas atualmente não estou usando… falow



  • Valeu Mateus0032, porém já tentei isso.

    Não é o certificado do proxy e sim o certificado para acesso a sites da receita.

    Um abraço.



  • Como vai Felipe,

    Não sei se são muitos os sites que estão causando esse problema em seu cenário. Se são poucos os sites e os domínios são conhecidos. Sugiro não passar esses domínios por proxy. Deixe a navegação sair diretamente sem proxy.

    Para isso, navegue até "Services > Proxy Server > General > Transparent Proxy Settings > Bypass proxy for these destination IPs" e adicione os domínios que deseja não passar pelo proxy separado por (ponto-virgula).

    ex: bb.com.br;cmt.caixa.gov.br;www.receita.gov.br;receita.gov.br

    Como você utiliza o proxy transparente com ssl, libere no firewall  na interface LAN, source: LAN_net source_port: * destino: * destino_port: 443. Não preocupe-se, o https transparent cria uma regra de NAT antes da regra filtro alterando a porta de destino 443 para a porta do proxy https. Dessa forma, somente os no rdr (não NAT) farão uso dessa regra de firewall.

    att,

    Bruno Pinheiro.



  • Olá,
    Concordo com o Bruno Pinheiro.

    Em sites de governo dá muito esse tipo de erro, principalmente por conta dos certificados da icp brasil.

    A alternativa mesmo é colocar os sites pra não passar pele proxy conforme o Bruno Pinheiro comentou.

    Abraços.



  • Valeu galera, vou tentar o Bypass e coloco o resultado.



  • Pessoal,

    Estou me deparando com esse um problema similar, porém mesmo colocando o ip de alguns celulares como  bypass de origem e colocando regra de firewall para saida especial para esses ip, o whatsapp não funciona de jeito nenhum…



  • @Reginaldo:

    Pessoal,

    Estou me deparando com esse um problema similar, porém mesmo colocando o ip de alguns celulares como  bypass de origem e colocando regra de firewall para saida especial para esses ip, o whatsapp não funciona de jeito nenhum…

    bypass de destino né?



  • @JuniorAndrade:

    @Reginaldo:

    Pessoal,

    Estou me deparando com esse um problema similar, porém mesmo colocando o ip de alguns celulares como  bypass de origem e colocando regra de firewall para saida especial para esses ip, o whatsapp não funciona de jeito nenhum…

    bypass de destino né?

    Não seria de origem, pois desses IP de origem quero que tenham acesso liberado por fora…



  • No caso do felipe é destino e no caso do colega Reginaldo é origem.

    "Services > Proxy Server > General > Transparent Proxy Settings > Bypass proxy for these source IPs"

    Faça alguns testes nesse cliente:

    1- Resolução de nomes.

    ping www.pudim.com.br
    

    2- Teste de porta na 443, 80 para www.google.com

    telnet www.google.com 80
    
    telnet www.google.com 443
    

    3- Verifique se as portas 5222 e 5223 estão liberadas (não sei dizer quais são os IPs do whatsapp).

    att

    Bruno Pinheiro.