The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SQUID SSL transparent SSL"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Разное / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"SQUID SSL transparent SSL"  +/
Сообщение от gryzwold email(ok) on 31-Окт-13, 12:03 
SQUID SSL transparent SSL

На cisco ASA включён WCCP.

#HTTP transparent SSL
http_port 172.17.0.251:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem
http_port 172.17.0.251:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem
https_port 172.17.0.251:3140 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem options=NO_SSLv3
#/HTTP transparent SSL

#wccp
wccp2_router %ip_router%
wccp2_forwarding_method 1
wccp2_return_method 1
wccp2_service standard 0
wccp2_service dynamic 70
wccp2_service_info 70 protocol=tcp  priority=240 ports=443
#/wccp

#Настройки для работы с ssl
sslproxy_cert_error allow all
sslproxy_cert_adapt setValidAfter
sslproxy_flags DONT_VERIFY_PEER
always_direct allow all
ssl_bump allow all
ssl_bump client-first all
ssl_bump server-first all
ssl_bump none all
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB
#sslcrtd_children 5
#/Настройки для работы с ssl


Если использовано не прозрачное проксирование, а указать браузеру проксисервер и добавить сертификаи в доверенные в браузере, то всё хорошо, https трафик виден в логах. Но если использовать прозрачное проксирование через WCCP, то появляется такая вот ошибка:

Вероятно, это не тот сайт, который вы ищете!
Вы попытались перейти на сайт mail.ru, однако были направлены на сервер 217.69.139.201. Переадресации подобного рода происходят из-за ошибок конфигурации сервера, либо в случае если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную) копию страницы mail.ru.
Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для данного сайта.

т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip адрес.

Как это можно пофиксить?

В это статье ( http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что это можно как-то исправить, но что конкеретно делать не сказано... может кто-то сталкивался?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SQUID SSL transparent SSL"  +/
Сообщение от rusadmin (ok) on 31-Окт-13, 13:43 
>[оверквотинг удален]
> если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную)
> копию страницы mail.ru.
> Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для
> данного сайта.
> т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip
> адрес.
> Как это можно пофиксить?
> В это статье ( http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что
> это можно как-то исправить, но что конкеретно делать не сказано... может
> кто-то сталкивался?

То, что вы делаете, называется "человек посередине".
Штатно решить проблему не получится, а если и получится - то браузеры все равно будут выдавать предупреждения

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SQUID SSL transparent SSL"  +/
Сообщение от gryzwold email(ok) on 31-Окт-13, 14:28 
> То, что вы делаете, называется "человек посередине".
> Штатно решить проблему не получится, а если и получится - то браузеры
> все равно будут выдавать предупреждения

Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert тут написано что можно это побороть, но как я не понял

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SQUID SSL transparent SSL"  +/
Сообщение от Esha on 22-Апр-14, 19:47 
>> То, что вы делаете, называется "человек посередине".
>> Штатно решить проблему не получится, а если и получится - то браузеры
>> все равно будут выдавать предупреждения
> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert
> тут написано что можно это побороть, но как я не понял

Подскажите как получилось решить штатно?
Упорно выдается серт на ip.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "SQUID SSL transparent SSL"  +/
Сообщение от Михаил email(??) on 05-Май-14, 19:42 
>>> То, что вы делаете, называется "человек посередине".
>>> Штатно решить проблему не получится, а если и получится - то браузеры
>>> все равно будут выдавать предупреждения
>> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert
>> тут написано что можно это побороть, но как я не понял
> Подскажите как получилось решить штатно?
> Упорно выдается серт на ip.

Да получилось.
Нужно было прописать во все браузеры политиками что этот серт доверенный. Но приключения на этом не кончились. Через некоторые время начал ругаться гугл, мол сертификаты странные а потом яндекс. Если что пишите в личку подскажу. Мне думается сертификат нужно покупать. На данный момент на ssl "забили" )

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "SQUID SSL transparent SSL"  +/
Сообщение от rusadmin (ok) on 16-Июн-14, 13:43 
>[оверквотинг удален]
>>> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert
>>> тут написано что можно это побороть, но как я не понял
>> Подскажите как получилось решить штатно?
>> Упорно выдается серт на ip.
> Да получилось.
> Нужно было прописать во все браузеры политиками что этот серт доверенный. Но
> приключения на этом не кончились. Через некоторые время начал ругаться гугл,
> мол сертификаты странные а потом яндекс. Если что пишите в личку
> подскажу. Мне думается сертификат нужно покупать. На данный момент на ssl
> "забили" )

И все же не правда ваша. Почитайте мое первое сообщение. Вы собираетесь обойти в принципе всю систему https-а. Как только у вас получится - можете начинать зарабатывать деньги.
Правда это будет не законно

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру