форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Разное / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"SQUID SSL transparent SSL"	+/–
Сообщение от gryzwold (ok) on 31-Окт-13, 12:03
SQUID SSL transparent SSL На cisco ASA включён WCCP. #HTTP transparent SSL http_port 172.17.0.251:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem http_port 172.17.0.251:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem https_port 172.17.0.251:3140 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem options=NO_SSLv3 #/HTTP transparent SSL #wccp wccp2_router %ip_router% wccp2_forwarding_method 1 wccp2_return_method 1 wccp2_service standard 0 wccp2_service dynamic 70 wccp2_service_info 70 protocol=tcp  priority=240 ports=443 #/wccp #Настройки для работы с ssl sslproxy_cert_error allow all sslproxy_cert_adapt setValidAfter sslproxy_flags DONT_VERIFY_PEER always_direct allow all ssl_bump allow all ssl_bump client-first all ssl_bump server-first all ssl_bump none all sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB #sslcrtd_children 5 #/Настройки для работы с ssl Если использовано не прозрачное проксирование, а указать браузеру проксисервер и добавить сертификаи в доверенные в браузере, то всё хорошо, https трафик виден в логах. Но если использовать прозрачное проксирование через WCCP, то появляется такая вот ошибка: Вероятно, это не тот сайт, который вы ищете! Вы попытались перейти на сайт mail.ru, однако были направлены на сервер 217.69.139.201. Переадресации подобного рода происходят из-за ошибок конфигурации сервера, либо в случае если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную) копию страницы mail.ru. Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для данного сайта. т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip адрес. Как это можно пофиксить? В это статье ( http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что это можно как-то исправить, но что конкеретно делать не сказано... может кто-то сталкивался?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "SQUID SSL transparent SSL"	+/–
Сообщение от rusadmin (ok) on 31-Окт-13, 13:43
>[оверквотинг удален] > если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную) > копию страницы mail.ru. > Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для > данного сайта. > т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip > адрес. > Как это можно пофиксить? > В это статье ( http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что > это можно как-то исправить, но что конкеретно делать не сказано... может > кто-то сталкивался? То, что вы делаете, называется "человек посередине". Штатно решить проблему не получится, а если и получится - то браузеры все равно будут выдавать предупреждения
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "SQUID SSL transparent SSL"	+/–
	Сообщение от gryzwold (ok) on 31-Окт-13, 14:28
	> То, что вы делаете, называется "человек посередине". > Штатно решить проблему не получится, а если и получится - то браузеры > все равно будут выдавать предупреждения Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert тут написано что можно это побороть, но как я не понял
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "SQUID SSL transparent SSL"	+/–
	Сообщение от Esha on 22-Апр-14, 19:47
	>> То, что вы делаете, называется "человек посередине". >> Штатно решить проблему не получится, а если и получится - то браузеры >> все равно будут выдавать предупреждения > Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert > тут написано что можно это побороть, но как я не понял Подскажите как получилось решить штатно? Упорно выдается серт на ip.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "SQUID SSL transparent SSL"	+/–
	Сообщение от Михаил (??) on 05-Май-14, 19:42
	>>> То, что вы делаете, называется "человек посередине". >>> Штатно решить проблему не получится, а если и получится - то браузеры >>> все равно будут выдавать предупреждения >> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert >> тут написано что можно это побороть, но как я не понял > Подскажите как получилось решить штатно? > Упорно выдается серт на ip. Да получилось. Нужно было прописать во все браузеры политиками что этот серт доверенный. Но приключения на этом не кончились. Через некоторые время начал ругаться гугл, мол сертификаты странные а потом яндекс. Если что пишите в личку подскажу. Мне думается сертификат нужно покупать. На данный момент на ssl "забили" )
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "SQUID SSL transparent SSL"	+/–
	Сообщение от rusadmin (ok) on 16-Июн-14, 13:43
	>[оверквотинг удален] >>> Получилось решить штатано, но браузер не сертификат руагется.  http://wiki.squid-cache.org/Features/MimicSslServerCert >>> тут написано что можно это побороть, но как я не понял >> Подскажите как получилось решить штатно? >> Упорно выдается серт на ip. > Да получилось. > Нужно было прописать во все браузеры политиками что этот серт доверенный. Но > приключения на этом не кончились. Через некоторые время начал ругаться гугл, > мол сертификаты странные а потом яндекс. Если что пишите в личку > подскажу. Мне думается сертификат нужно покупать. На данный момент на ssl > "забили" ) И все же не правда ваша. Почитайте мое первое сообщение. Вы собираетесь обойти в принципе всю систему https-а. Как только у вас получится - можете начинать зарабатывать деньги. Правда это будет не законно
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема