Eu tenho um problema com a configuração de um proxy do Squid transparente em um firewall pfsense. Eu criei uma CA para HTTPS MITM, instalei no meu navegador e funciona com a maioria dos sites.
No entanto, sites como ubuntuusers.de usam um certificado para criptografar vamos parecer causar problemas. O estranho é que parece estar correto: Seu CN é o domínio e sua CA é corretamente Vamos Encriptar Autoridade X3.
No entanto, assim que o proxy Squid intercepta o certificado e o MITM o aceita, o CN do certificado torna-se o número IP de ubuntuusers.de ubuntuusers.de a> e, assim, os navegadores, tanto o Chrome como o Firefox rejeitam-no, uma vez que cn e domain don't fit (net::ERR_CERT_COMMON_NAME_INVALID)
Isso só acontece neste site, então é necessário fazer algo com esse certificado. Eu não tenho experiência suficiente com certificados para entender por que isso está acontecendo.
...
Common Name (CN) 213.95.41.4
Organization (O) <Not Part Of Certificate>
Organizational Unit (OU) <Not Part Of Certificate>
Serial Number 7C...
Issued By
Common Name (CN) myown-ca
...
Talvez alguém possa explicar esse comportamento para mim?
Parece que você está usando server-first SSL, que de acordo com os documentos não podem manipular o SNI no servidor e usará o IP do servidor como o certificado (já que o servidor não terá mais um único nome de host). Começando com o Squid 3.5, existem novos mecanismos chamados peek e stare que permitem ao squid observar a negociação SNI para descobrir o hostname requisitado, cada sujeito sujeito a diferentes limitações.