ERRO CERTIFICADO SITE ECAC / proxy transparente / SSL habilitado


  • Bom dia Senhores!

    vejam se podem me ajudar, tenho um cliente que coloquei o site do ECAC no "Bypass proxy for these destination IPs" coloquei os HOSTS na whitelist ACESSA NORMAL, porém em alguns sub-links para acesso de outras aplicações do site esta aparecendo o erro abaixo na imagem.

    Alguem sabe como posso resolver isso, já pesquisei aqui no forum e em outro lugares na net e nao estou conseguindo achar nada, quando coloco a maquina no BYPASS acessa normalmente.

    no mais agradeço desde já,

    renan
    ![2015-02-19 11_39_00-legal05 - TightVNC Viewer.png](/public/imported_attachments/1/2015-02-19 11_39_00-legal05 - TightVNC Viewer.png)
    ![2015-02-19 11_39_00-legal05 - TightVNC Viewer.png_thumb](/public/imported_attachments/1/2015-02-19 11_39_00-legal05 - TightVNC Viewer.png_thumb)


  • @rvl:

    porém em alguns sub-links para acesso de outras aplicações do site esta aparecendo o erro abaixo na imagem.

    Use o firebug do firefox na aba rede(ou o log do squid) para identificar os sublinks e deixe todos(os hosts) no bypass para resolver da forma mais simples.


  • Vou fazer esse teste, eu uso o NTOPNG na hora que estava fazendo a analise, ao mesmo tempo que estava tentando resolver estava monitorando com o NTOP e nao consegui pegar a URL, mas creio que com esse firebug que passou possa ser mais especifico….

    obrigado Marcelo...

    logo posto o que deu...


  • @rvl:

    Vou fazer esse teste, eu uso o NTOPNG na hora que estava fazendo a analise, ao mesmo tempo que estava tentando resolver estava monitorando com o NTOP e nao consegui pegar a URL, mas creio que com esse firebug que passou possa ser mais especifico….

    obrigado Marcelo...

    logo posto o que deu...

    rvl,
    Tive o mesmo problema. E como nosso amigo marcelloc mencionou.
    Adicionei esses links no Bypass proxy for these destination IPs (cav.receita.fazenda.gov.br;www2.cav.receita.fazenda.gov.br;www2.dataprev.gov.br;fazenda.gov.br;www3.cav.receita.fazenda.gov.br;e-processo.receita.fazenda.gov.br;)
    Problema resolvido.  ;D


  • Aproveitando meu post acima tenho uma duvida.
    Quando adicionamos os link no Bypass proxy for these destination IPs, percebi que nao tenho mais o registro de acesso dos logs do Squid. Seria possivl liberar o acesso mais mesmo assim registrar nos log's do Squid????


  • @derikdk:

    Seria possivl liberar o acesso mais mesmo assim registrar nos log's do Squid????

    Seria possível você ver quem entrou no apartamento do seu vizinho estando você em outro andar e sem cftv?


  • @marcelloc:

    @derikdk:

    Seria possivl liberar o acesso mais mesmo assim registrar nos log's do Squid????

    Seria possível você ver quem entrou no apartamento do seu vizinho estando você em outro andar e sem cftv?

    marcelloc, respondendo sua pergunta acredito que nao,
    A nao ser que eu tenha uma mente muito evoluida com super poderes..  ;D hahaha
    e olha q pensei a respeito para te responder..

    Foi uma duvida que imagine somente.
    Se existe uma regra que verifica o conteudo para ser liberado atraves do HTTPS, imaginei EU que isto seria possivel.
    Tendo um registro dessas liberações. Mais obrigado 8)


  • Sem problema. Foi só para tentar ilustrar a configuração.

    O bypass cria uma regra de firewall que permite o acesso sem passar pelo squid. Por isso não aparece no log.


  • @marcelloc:

    Sem problema. Foi só para tentar ilustrar a configuração.

    O bypass cria uma regra de firewall que permite o acesso sem passar pelo squid. Por isso não aparece no log.

    Show de bola marcelloc, muito obrigado pela esclarecimento ;)


  • @marcelloc:

    Sem problema. Foi só para tentar ilustrar a configuração.

    O bypass cria uma regra de firewall que permite o acesso sem passar pelo squid. Por isso não aparece no log.

    Marcelo, ainda sobre isso.

    Colocar essas URLs na WHITELIST do squidguard não seria a mesma coisa?  Nunca tive 100% de certeza sobre a diferença entre o Whitelist e Bypass proxy for these destination IPs.


  • Pelo que entendi o Bypass proxy for these destination IPs seria uma regra que passaria por fora do squid assim nada de interceptar o ssl e com isso não e dará problemas com o certificado auto assinado que vc criou para usar no squid.. seria tipo um tunel por fora do squid….
    já o WHITELIST seria uma liberação do dominio para poder trafegar mas passando pelo squid juntamente com o certificado auto assinado assim ocorrendo o bloqueio dele...

    Se não estiver certo me corrigem...  ;D


  • Lendo o post, surgiu uma dúvida. Se eu comprar um certificado para o servidor em vez de usar o auto assinado, resolveria o problema??


  • Bom já resolveria alguns.


  • opa pessoal,

    obrigado pelos posts, vou voltar a testar com as dicas acima pois ate o momento nao havia conseguido, eu instalei o FIREBUG na mquina do usuario no firefox porem nao consegui logar com o certificado do client no site do ECAC para utilizar o firebug e pegar os acessos, mas nosso amigo acima passou os endereços vou adicionar os ips dos endereços e testar….

    abraço a todos!


  • @mateus0032:

    Pelo que entendi o Bypass proxy for these destination IPs seria uma regra que passaria por fora do squid assim nada de interceptar o ssl e com isso não e dará problemas com o certificado auto assinado que vc criou para usar no squid.. seria tipo um tunel por fora do squid….
    já o WHITELIST seria uma liberação do dominio para poder trafegar mas passando pelo squid juntamente com o certificado auto assinado assim ocorrendo o bloqueio dele...

    Isso mesmo. :)


  • @marcelloc:

    @mateus0032:

    Pelo que entendi o Bypass proxy for these destination IPs seria uma regra que passaria por fora do squid assim nada de interceptar o ssl e com isso não e dará problemas com o certificado auto assinado que vc criou para usar no squid.. seria tipo um tunel por fora do squid….
    já o WHITELIST seria uma liberação do dominio para poder trafegar mas passando pelo squid juntamente com o certificado auto assinado assim ocorrendo o bloqueio dele...

    Isso mesmo. :)

    Faz o sequinte! Instala no navegador google chrome a extensão "ieTab" Ele cria um ícone ao lado da barra de endereços, quando tentar acessar o ECAC basta acionar a extensão, ele reabre o site compatível com a SSL e JAVA e na sequência te pede o certificado.