Форум программистов, компьютерный форум, киберфорум
RedHat, Fedora, CentOS, ASP Linux
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/15: Рейтинг темы: голосов - 15, средняя оценка - 4.80
28 / 28 / 1
Регистрация: 07.02.2011
Сообщений: 241
1

Прозрачный сквид с ssl_bump не пускает на некоторые https сайты

08.06.2018, 16:29. Показов 3002. Ответов 4
Метки нет (Все метки)

Пришло время задать один сложный вопрос. Форумчане, администраторы, кто хорошо знаком со сквидом в режиме ssl-bumb с подменой сертификата, подскажите:
работает система вроде как надо, новая установка: Centos 7.4, squid/3.5.27. Сертификаты в ssl_db создаются, несмотря на то что в cache.log'е
Кликните здесь для просмотра всего текста
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 90: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 89: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 66: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 91: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 91: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 97: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 91: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 96: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 100: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 105: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 107: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 115: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 105: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 23: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 20: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:47 kid1| Error negotiating SSL on FD 31: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:03:00 kid1| Error negotiating SSL on FD 52: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:03:00 kid1| Error negotiating SSL on FD 43: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:03:04 kid1| Error negotiating SSL on FD 26: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
и т.д.

Проблема в том что не пускает на некоторые сайты, возьмём для примера habr.com/. Браузер сообщает, что владелец habr.com неправильно настроил свой веб-сайт и
habr.com использует недействительный сертификат безопасности. Сертификат действителен только для следующих имён: habrahabr.ru, api.habrahabr.ru, m.habrahabr.ru, special.habrahabr.ru, www.habrahabr.ru Код ошибки: SSL_ERROR_BAD_CERT_DOMAIN
Собственно эта информация содержится в графе "дополнительное имя субъекта" созданного на сервере сертификата:
DNS-имя=habrahabr.ru
DNS-имя=api.habrahabr.ru
DNS-имя=m.habrahabr.ru
DNS-имя=special.habrahabr.ru
DNS-имя=www.habrahabr.ru

Кусок конфигурации сквида:
Кликните здесь для просмотра всего текста
# Opisanie proxy portov
http_port 3128 intercept
https_port 192.168.0.2:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/cert/Dlya_vihoda.pem key=/opt/squid/etc/cert/Dlya_vihoda.key
always_direct allow all
dns_v4_first on

visible_hostname Shluz2
ssl_bump server-first all
ssl_bump none localhost
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

# Nastroyki slujbi ssl servera
sslcrtd_children 8 startup=1 idle=1


Такие сайты ведь будут вылавливаться и в работе пользователей. Что с этим делать?
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
08.06.2018, 16:29
Ответы с готовыми решениями:

Вирус не пускает на некоторые сайты, найти не могу
Вирус не пускает на поисковики, социальные сети, просит написать номер и отправить СМС, Hosts в...

Не открывает почту на mail yandex и некоторые сайты с https
доброго всем времени суток, большая просьба помочь с решением проблемы. Касперский ничего не...

IOS Simulator пускает в сеть только по https
Добрый день! Проблема такова: до вчерашнего дня лень быть обновлять основной рабочий комп до 10.10,...

Не открываются сайты антивирусов плюс еще некоторые сайты, AVZ и HiJackThis
Не открываются сайты антивирусов плюс еще некоторые сайты, AVZ и HiJackThis не работают. Dr.Web...

4
918 / 635 / 198
Регистрация: 08.09.2013
Сообщений: 1,690
08.06.2018, 20:38 2
Лучший ответ Сообщение было отмечено Max - 2 как решение

Решение

Цитата Сообщение от Max - 2 Посмотреть сообщение
Такие сайты ведь будут вылавливаться и в работе пользователей. Что с этим делать?
Други сайты со SNI у вас работают?

В Инетах пишут, что ssl_bump server-first all устарел.
Советуют
Bash
1
2
3
4
acl step1 at_step SslBump1
 
ssl_bump peek step1
ssl_bump bump all
Говорят, так большинство SNI сайтов работает.
Сам я не проверял. Да и вообще отказался от ssl_bump.
1
28 / 28 / 1
Регистрация: 07.02.2011
Сообщений: 241
09.06.2018, 09:23  [ТС] 3
Только начал собирать статистику / сведения по вашему вопросу, как подумал: "а дай ка попробую другой предложенный режим ssl_bump'а". И знаете, оно ЗАРАБОТАЛО. Огромное спасибо, теперь и на нашем форуме есть информация об этом.
Ещё маленький вопросик: нужно ли периодически чистить папку certs с созданными сертификатами? Подозреваю что скоро она разрастётся.
0
918 / 635 / 198
Регистрация: 08.09.2013
Сообщений: 1,690
09.06.2018, 10:39 4
Цитата Сообщение от Max - 2 Посмотреть сообщение
Ещё маленький вопросик: нужно ли периодически чистить папку certs с созданными сертификатами? Подозреваю что скоро она разрастётся.
Вряд ли она вырастет больше прокси-кэша. :-))) Я бы чистил раз или два в год.

Не по теме:

И руководству напомнайте, что в трудовом договоре с сотрудниками должно быть прописано их согласие на просмотр всей информации, которую они вводят на рабочих компьютерах, включая номера кредиток и все пароли. А то ведь, если жареным запахнет, они могут сказать, что ssl_bump - ваша личная инициатива, не согласованная с руководством.

1
28 / 28 / 1
Регистрация: 07.02.2011
Сообщений: 241
09.06.2018, 15:22  [ТС] 5
Вообщем в конце дня после пользования этой системой скажу, что вы правы очень в том что:
Говорят, так большинство SNI сайтов работает.
и ключевое слово здесь большинство. Если вы отказались когда то в своё время от этой технологии, то охотно могу понять. И за подсказку не по теме, тоже спасибо.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
09.06.2018, 15:22

Не могу зайти на сайты антивирусов, не открываются или висят и некоторые другие сайты
Приветствую! Проблема следующая, не один из браузеров не может зайти на сайты антивирусов,...

Прозрачный прокси squid3 и https
Всем хорошего дня. Вообщем настраиваю на debian7 squid3 прозрачный наткнулся на проблему с https, ...

Не пускает на сайты по безопасности!
И так проблема не пускает на сайты по безопасности! стоял нод32 потом перестал запускаться...

Не пускает на антивирусные сайты
День добрый! Помогите, пожалуйста, разобраться с вирусом на ноутбуке. Описание проблемы: На...

Мозила не пускает на сайты!!!
Уважаемые форумчане помогите новичку. Я являюсь администратором двух сайтов http://worldwmr.ru и...

Не открываются некоторые сайты, в частности сайты антивирусов
С недавнего времени перестали открываться некоторые сайты, в частности сайты антивирусных программ....


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.