URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95148
[ Назад ]

Исходное сообщение
"SQUID SSL transparent SSL"

Отправлено gryzwold , 31-Окт-13 12:03 
SQUID SSL transparent SSL

На cisco ASA включён WCCP.

#HTTP transparent SSL
http_port 172.17.0.251:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem
http_port 172.17.0.251:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem
https_port 172.17.0.251:3140 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem options=NO_SSLv3
#/HTTP transparent SSL

#wccp
wccp2_router %ip_router%
wccp2_forwarding_method 1
wccp2_return_method 1
wccp2_service standard 0
wccp2_service dynamic 70
wccp2_service_info 70 protocol=tcp  priority=240 ports=443
#/wccp

#Настройки для работы с ssl
sslproxy_cert_error allow all
sslproxy_cert_adapt setValidAfter
sslproxy_flags DONT_VERIFY_PEER
always_direct allow all
ssl_bump allow all
ssl_bump client-first all
ssl_bump server-first all
ssl_bump none all
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB
#sslcrtd_children 5
#/Настройки для работы с ssl


Если использовано не прозрачное проксирование, а указать браузеру проксисервер и добавить сертификаи в доверенные в браузере, то всё хорошо, https трафик виден в логах. Но если использовать прозрачное проксирование через WCCP, то появляется такая вот ошибка:

Вероятно, это не тот сайт, который вы ищете!
Вы попытались перейти на сайт mail.ru, однако были направлены на сервер 217.69.139.201. Переадресации подобного рода происходят из-за ошибок конфигурации сервера, либо в случае если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную) копию страницы mail.ru.
Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для данного сайта.

т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip адрес.

Как это можно пофиксить?

В это статье ( http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что это можно как-то исправить, но что конкеретно делать не сказано... может кто-то сталкивался?


Содержание

Сообщения в этом обсуждении
"SQUID SSL transparent SSL"
Отправлено rusadmin , 31-Окт-13 13:43 
>[оверквотинг удален]
> если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную)
> копию страницы mail.ru.
> Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для
> данного сайта.
> т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip
> адрес.
> Как это можно пофиксить?
> В это статье ( http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что
> это можно как-то исправить, но что конкеретно делать не сказано... может
> кто-то сталкивался?

То, что вы делаете, называется "человек посередине".
Штатно решить проблему не получится, а если и получится - то браузеры все равно будут выдавать предупреждения


"SQUID SSL transparent SSL"
Отправлено gryzwold , 31-Окт-13 14:28 
> То, что вы делаете, называется "человек посередине".
> Штатно решить проблему не получится, а если и получится - то браузеры
> все равно будут выдавать предупреждения

Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert тут написано что можно это побороть, но как я не понял


"SQUID SSL transparent SSL"
Отправлено Esha , 22-Апр-14 19:47 
>> То, что вы делаете, называется "человек посередине".
>> Штатно решить проблему не получится, а если и получится - то браузеры
>> все равно будут выдавать предупреждения
> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert
> тут написано что можно это побороть, но как я не понял

Подскажите как получилось решить штатно?
Упорно выдается серт на ip.


"SQUID SSL transparent SSL"
Отправлено Михаил , 05-Май-14 19:42 
>>> То, что вы делаете, называется "человек посередине".
>>> Штатно решить проблему не получится, а если и получится - то браузеры
>>> все равно будут выдавать предупреждения
>> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert
>> тут написано что можно это побороть, но как я не понял
> Подскажите как получилось решить штатно?
> Упорно выдается серт на ip.

Да получилось.
Нужно было прописать во все браузеры политиками что этот серт доверенный. Но приключения на этом не кончились. Через некоторые время начал ругаться гугл, мол сертификаты странные а потом яндекс. Если что пишите в личку подскажу. Мне думается сертификат нужно покупать. На данный момент на ssl "забили" )


"SQUID SSL transparent SSL"
Отправлено rusadmin , 16-Июн-14 13:43 
>[оверквотинг удален]
>>> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert
>>> тут написано что можно это побороть, но как я не понял
>> Подскажите как получилось решить штатно?
>> Упорно выдается серт на ip.
> Да получилось.
> Нужно было прописать во все браузеры политиками что этот серт доверенный. Но
> приключения на этом не кончились. Через некоторые время начал ругаться гугл,
> мол сертификаты странные а потом яндекс. Если что пишите в личку
> подскажу. Мне думается сертификат нужно покупать. На данный момент на ssl
> "забили" )

И все же не правда ваша. Почитайте мое первое сообщение. Вы собираетесь обойти в принципе всю систему https-а. Как только у вас получится - можете начинать зарабатывать деньги.
Правда это будет не законно