PfSense https сбор предложений
-
Доброго времени суток!
Ни для кого не секрет, что https стал уже реальной головной болью. Прошу поделиться, кто как справляется с данной проблемой.
Блокировка нежелательного контента через wirewall носит, я бы сказал, временный характер и реального результата не приносит. Блокировать полностью 443 порт - тем более не выход.
Недавно узнал о Diladele Web Safety хочу погонять в тестовом режиме, возможно кто-то уже использует, просьба поделиться впечатлениями. Насколько я понял возникнет проблемка с сертификатом безопасности, насколько это мешает работе?
Вообще, друзья, кто что по этому поводу думает? -
Недавно узнал о Diladele Web Safety хочу погонять в тестовом режиме, возможно кто-то уже использует
Платная . Есть триал.
http://sichent.wordpress.com/2014/02/22/filtering-https-traffic-with-squid-on-pfsense-2-1/
https://forum.pfsense.org/index.php?topic=72528.0 -
Стоит 2.1.5-RELEASE (i386), установлен пакет squid3-dev 3.3.10 pkg 2.2.6. Есть прозрачная фильтрация https по принципу MITM, но вот в чем грабли: браузеры ругаются на самоподписанный сертификат, даже после того как я внес их в доверенные центры сертификации. Может кто подскажет что не так?
-
А что если создать сертификат здесь и исп. его - https://www.startssl.com/ ?
-
Здравствуйте.
Чтоб темы не плодить, написал сюда.
Появилась задача фильтровать https.
Установил на виртуалку PfSense 2.1.5.
Поставил squid3-dev и squidGuard-squid3
Настроил, блокирует теперь всё. Но есть проблема указывает, что сертификат неверный. Если его установить как доверенный, то всё нормально.
Вопрос, может кто знает появился способ, чтоб нечего он не запрашивал, так сказать какой-нибудь обходной путь.
И конечно же проблема с мобильными устройствами, туда сертификат не удалось установить. -
Необходим не самоподписанный, а заверенный доверенными центрами сертификации.
-
Необходим не самоподписанный, а заверенный доверенными центрами сертификации.
А вам удалось установить сертификат от выше указанной компании?
-
На web-сервере - да. На squid - не было такой задачи.
А у вас все условия есть для его получения? На какое имя в сети вы его регите ? -
А какие условия требуются?
Я его зарегистрировал на сайт компании g-s-g.ru -
А какие условия требуются?
Я его зарегистрировал на сайт компании g-s-g.ruЕсли без привязки к сайту. HTTPS авторизация через Captive Portal, как тогда поступить?
-
Вам необходим сертификат подписанный реальным CA. Можно купить.
-
squid3-dev + squidGuard-squid3
2.1.5-RELEASE
Прозрачный прокси.
Создал self-signed сертификат, подвязал его к сквиду, затем при помощи GPO накатил на все рабочие станции в офисе, добавлял в доверенные корневые центры сертификации Windows, на IE, Chrome и других браузерах, которые используют виндовые центры сертификации все работает. На Mozilla Firefox и старой Opera (12.17) приходится добавлять сертификат руками, так как в этих браузерах свои хранилища сертификатов. Единственная проблема с сайтами финансовых систем и клиент-банков, они понимают, что сертификат подменный и отказываются работать, такие сайты приходится добавлять в исключение фильтрации по HTTPs. -
squid3-dev + squidGuard-squid3
2.1.5-RELEASE
Прозрачный прокси.
Создал self-signed сертификат, подвязал его к сквиду, затем при помощи GPO накатил на все рабочие станции в офисе, добавлял в доверенные корневые центры сертификации Windows, на IE, Chrome и других браузерах, которые используют виндовые центры сертификации все работает. На Mozilla Firefox и старой Opera (12.17) приходится добавлять сертификат руками, так как в этих браузерах свои хранилища сертификатов. Единственная проблема с сайтами финансовых систем и клиент-банков, они понимают, что сертификат подменный и отказываются работать, такие сайты приходится добавлять в исключение фильтрации по HTTPs.А подскажите пожалуйста, а где список исключений для фильтрации по HTTPs, в какой именно раздел это надо добавлять?
-
В настройках squid-а.
