O interceptar do Squid HTTPS gera o certifcate para o IP em vez do hostname

1

Sou novo no Squid e tenho problemas para conseguir que o filtro SSL funcione.

Eu tenho uma configuração de bloco geral com o Squid como proxy transparente, onde o acesso é permitido apenas ao github.com. Mas o squid gera certificados para o endereço IP em vez do nome do domínio e a validação SSL falha.

Versão do Squid: 3.5.25-20170408-r14154

Quando uso o curl (importei meu SSL autoassinado para o armazenamento de certificados)

curl: (51) SSL: certificate subject name (192.30.255.112) does not match target host name 'github.com'

Como configurar corretamente a junção de uma lista de permissões e bloquear todos os outros domínios. Abaixo está minha configuração atual

http_port 3128
http_port 3129 intercept
https_port 3130intercept ssl-bump enerate-host-certificates=on dynamic_cert_mem_cache_size=4MB 
cert=/etc/squid/ssl_certs/myca.pem key=/etc/squid/ssl_certs/myca.pem

acl whitelist ssl::server_name .github.com
acl step1 at_step SslBump1

ssl_bump peek step1
ssl_bump splice whitelist
ssl_bump bump all

Obrigado

    
por Shan 17.04.2017 / 14:20

1 resposta

1

Use o Squid 4.

Eu tive o mesmo problema, e mudei para Squid 4 (que ainda está em desenvolvimento). Com as mesmas configurações na questão, o squid 4 irá gerar certificados com o próprio hostname.

    
por 18.05.2017 / 07:19

Tags