Imagens e folhas de estilo não são carregadas do squid devido a um certificado ruim?

1

Eu apenas configurei Gate Sentry em um Raspberry PI 3, e contém o Squid 3 como parte do é cadeia de proxy.

Ele também utiliza o ssl bump e certos sites que usam SSL (geralmente grandes, como Facebook e Youtube) não permitem o uso do certificado. Enquanto a própria página é carregada, ela geralmente não carrega imagens ou folhas de estilo que residem em servidores CDN estáticos.

Por exemplo, ao carregar o facebook, recebo os seguintes erros no navegador:

Failed to load resource: The certificate for this server is invalid. You might be connecting to a server that is pretending to be "static.xx.fbcdn.net" which could put your confidential information at risk.

E nos logs do squid eu recebo o seguinte:

XXXXXXXX.XXX   166 127.0.0.1 NONE/200 0 CONNECT scontent-yyz1-1.xx.fbcdn.net:443 - HIER_DIRECT/31.13.80.12 -

E embora eu saiba que é apenas uma reclamação de que este é um homem no meio, que é basicamente o que o ssl bump é ... Eu só quero filtrar o tráfego e fazer com que eu possa transformar certos sites em certos sites e off em determinados momentos; mas se você quiser filtrar um site tls / ssl, isso é o que é necessário. Dito isto, outras vezes gostaria de permitir que as pessoas usem o Facebook na minha rede, mas não durante o horário de trabalho.

Eu também sei que o certificado que baixei do servidor e instalei no laptop de teste, provavelmente não é a melhor coisa a ser usada, e até acho que provavelmente é a origem do problema, já que não é certificado por uma CA.

Se o certificado que eu decidir usar for certificado por uma CA, isso funcionará? Que tipo de certificado eu preciso instalar no navegador para evitar que ele se queixe? O processo é o mesmo se eu quiser fazer proxy transparente com isso eventualmente?

    
por leeand00 14.06.2016 / 17:06

1 resposta

1

O GateSentry gera os certificados do host que você está acessando on-the-fly para que o navegador acredite que está acessando o site original.

Esse certificado precisa ser assinado por uma autoridade de certificação na qual o seu navegador confia. Caso contrário, você receberá mensagens de erro como a que você viu. O GateSentry vem com um certificado de CA padrão que você pode instalar.

Para que seu navegador confie neste certificado de CA, você terá que adicioná-lo à lista de âncoras de confiança do navegador.

Como você faz isso depende do navegador e do sistema operacional, e isso terá que ser feito em todos os computadores que usam sua rede.

Acredito que o certificado CA padrão usado pelo GateSentry é um auto-assinado gerado pelo ai.com. Quando você adiciona um certificado à sua lista de âncoras de confiança, basicamente está dizendo que confia nessa organização. Você já ouviu falar ai.com, e muito menos confiar neles? É sua convocação, é claro, mas eu consideraria seriamente substituir esse certificado por seu próprio certificado auto-assinado - afinal, tenho certeza de que você confia em si mesmo mais do que em qualquer outra pessoa; especialmente alguém de quem você nunca ouviu falar antes!

O que é pior - se você decidir confiar no certificado ai.com em um laptop, tablet ou smartphone, no futuro você poderá entrar em um serviço WiFi que também usa o GateSentry e se eles estiverem usando o mesmo certificado ai.com você estará compartilhando todas as suas informações pessoais com eles!

Você não pode usar um certificado assinado por uma autoridade de certificação comercial, pois o certificado que você precisa precisará ser um certificado de autoridade de certificação, não um de entidade final (como um certificado de TLS). Um certificado de autoridade de certificação pode assinar certificados subordinados, como os de TLS que o GateSentry representa. Os certificados SSL / TLS que você pode comprar de CAs comerciais não podem assinar certificados subordinados, portanto, não são usados neste cenário. As autoridades de certificação geralmente não emitem certificados de autoridade de certificação e, definitivamente, não farão isso para indivíduos.

    
por 14.06.2016 / 21:42