Прозрачный сквид с ssl_bump не пускает на некоторые https сайты

@Max - 2 · Регистрация: 07.02.2011

Author24 — интернет-сервис помощи студентам

Пришло время задать один сложный вопрос. Форумчане, администраторы, кто хорошо знаком со сквидом в режиме ssl-bumb с подменой сертификата, подскажите:
работает система вроде как надо, новая установка: Centos 7.4, squid/3.5.27. Сертификаты в ssl_db создаются, несмотря на то что в cache.log'е

Кликните здесь для просмотра всего текста

2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 90: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 89: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 66: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:44 kid1| Error negotiating SSL on FD 91: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 91: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 97: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 91: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 96: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:45 kid1| Error negotiating SSL on FD 100: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 105: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 107: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 115: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 105: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 23: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:46 kid1| Error negotiating SSL on FD 20: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:02:47 kid1| Error negotiating SSL on FD 31: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:03:00 kid1| Error negotiating SSL on FD 52: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:03:00 kid1| Error negotiating SSL on FD 43: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
2018/06/08 15:03:04 kid1| Error negotiating SSL on FD 26: error:00000000:lib(0):func(0):reason(0) (5/-1/104)
и т.д.

Проблема в том что не пускает на некоторые сайты, возьмём для примера habr.com/. Браузер сообщает, что владелец habr.com неправильно настроил свой веб-сайт и

habr.com использует недействительный сертификат безопасности. Сертификат действителен только для следующих имён: habrahabr.ru, api.habrahabr.ru, m.habrahabr.ru, special.habrahabr.ru, www.habrahabr.ru Код ошибки: SSL_ERROR_BAD_CERT_DOMAIN

Собственно эта информация содержится в графе "дополнительное имя субъекта" созданного на сервере сертификата:
DNS-имя=habrahabr.ru
DNS-имя=api.habrahabr.ru
DNS-имя=m.habrahabr.ru
DNS-имя=special.habrahabr.ru
DNS-имя=www.habrahabr.ru

Кусок конфигурации сквида:

Кликните здесь для просмотра всего текста

# Opisanie proxy portov
http_port 3128 intercept
https_port 192.168.0.2:3129 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/opt/squid/etc/cert/Dlya_vihoda.pem key=/opt/squid/etc/cert/Dlya_vihoda.key
always_direct allow all
dns_v4_first on

visible_hostname Shluz2
ssl_bump server-first all
ssl_bump none localhost
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

# Nastroyki slujbi ssl servera
sslcrtd_children 8 startup=1 idle=1

Такие сайты ведь будут вылавливаться и в работе пользователей. Что с этим делать?

@gng · 08.06.2018, 20:38

Сообщение от Max - 2

Такие сайты ведь будут вылавливаться и в работе пользователей. Что с этим делать?

Други сайты со SNI у вас работают?

В Инетах пишут, что ssl_bump server-first all устарел.
Советуют

Bash
1
2
3
4
acl step1 at_step SslBump1
 
ssl_bump peek step1
ssl_bump bump all

Говорят, так большинство SNI сайтов работает.
Сам я не проверял. Да и вообще отказался от ssl_bump.

@Max - 2 · 09.06.2018, 09:23 **[ТС]**

Только начал собирать статистику / сведения по вашему вопросу, как подумал: "а дай ка попробую другой предложенный режим ssl_bump'а". И знаете, оно ЗАРАБОТАЛО. Огромное спасибо, теперь и на нашем форуме есть информация об этом.
Ещё маленький вопросик: нужно ли периодически чистить папку certs с созданными сертификатами? Подозреваю что скоро она разрастётся.

@gng · 09.06.2018, 10:39

Сообщение от Max - 2

Ещё маленький вопросик: нужно ли периодически чистить папку certs с созданными сертификатами? Подозреваю что скоро она разрастётся.

Вряд ли она вырастет больше прокси-кэша. :-))) Я бы чистил раз или два в год.

Не по теме:

И руководству напомнайте, что в трудовом договоре с сотрудниками должно быть прописано их согласие на просмотр всей информации, которую они вводят на рабочих компьютерах, включая номера кредиток и все пароли. А то ведь, если жареным запахнет, они могут сказать, что ssl_bump - ваша личная инициатива, не согласованная с руководством.

@Max - 2 · 09.06.2018, 15:22 **[ТС]**

Вообщем в конце дня после пользования этой системой скажу, что вы правы очень в том что:

Говорят, так большинство SNI сайтов работает.

и ключевое слово здесь большинство. Если вы отказались когда то в своё время от этой технологии, то охотно могу понять. И за подсказку не по теме, тоже спасибо.

Новые блоги и статьи Все статьи Все блоги /
Анализ и линтинг кода JavaScript: ESLint, Prettier и JSHint run.dev 26.04.2025 JavaScript прошёл долгий путь от простого языка для анимации веб-страниц до основы современной веб-разработки. С ростом сложности приложений, увеличением кодовых баз и масштабированием команд. . .	Паттерны в Python: Singleton, Factory и Observer py-thonny 26.04.2025 Паттерны проектирования — это проверенные временем решения типовых проблем разработки программного обеспечения. Их история берёт начало с книги "Приёмы объектно-ориентированного проектирования. . . .	Исключения в C#: Stack Overflow, Access Violation и Out of memory stackOverflow 26.04.2025 Исключения в C# — это не только механизм оповещения о проблемах, а целое искусство управления потоком выполнения программы в экстремальных ситуациях. Обычное исключение, например,. . .	Логирование в C# ASP.NET Core с помощью Serilog, ElasticSearch, Kibana stackOverflow 25.04.2025 Помните те времена, когда для анализа проблемы приходилось подключаться к серверу, искать нужный лог-файл среди десятков других и вручную фильтровать тысячи строк в поисках ошибки? К счастью, эти дни. . .	Структура "железный OnKeyUp" вместо антидребезга. Полностью асинхронный счётчик. Hrethgir 25.04.2025 Программа для симуляции схемы - Logisim Evolution В общем какое-то время отвлёкся, так было надо, теперь когда запилю это на verilog и FPGA , досоставлю заявку в ФИПС на полезную модель - не готов. . .
Автоматизация Amazon Web Services (AWS) с Boto3 в Python py-thonny 25.04.2025 Облачные вычисления стали неотъемлемой частью современной ИТ-инфраструктуры, а Amazon Web Services (AWS) занимает лидирующие позиции среди провайдеров облачных услуг. Управление многочисленными. . .	Apache Kafka vs RabbitMQ в микросервисной архитектуре ArchitectMsa 25.04.2025 Современная разработка ПО всё чаще склоняется к микросервисной архитектуре — подходу, при котором приложение разбивается на множество небольших, автономных сервисов. В этой распределённой среде. . .	Параллельное программирование с OpenMP в C++ NullReferenced 24.04.2025 Параллельное программирование — подход к созданию программ, когда одна задача разбивается на несколько подзадач, которые могут выполняться одновременно. Оно стало необходимым навыком для. . .	Цепочки методов в C# с Fluent API UnmanagedCoder 24.04.2025 Современное программирование — это не только решение функциональных задач, но и создание кода, который удобно поддерживать, расширять и читать. Цепочки методов и Fluent-синтаксис в C# стали мощным. . .	Мульти-тенантные БД с PostgreSQL Row Security Codd 23.04.2025 Современные облачные сервисы и бизнес-приложения всё чаще обслуживают множество клиентов в рамках единой программной инфраструктуры. Эта архитектурная модель, известная как мульти-тенантность, стала. . .

@Max - 2 28 / 28 / 1 Регистрация: 07.02.2011 Сообщений: 256
	09.06.2018, 09:23 [ТС]
	Только начал собирать статистику / сведения по вашему вопросу, как подумал: "а дай ка попробую другой предложенный режим ssl_bump'а". И знаете, оно ЗАРАБОТАЛО. Огромное спасибо, теперь и на нашем форуме есть информация об этом. Ещё маленький вопросик: нужно ли периодически чистить папку certs с созданными сертификатами? Подозреваю что скоро она разрастётся. 0

Опции темы

Прозрачный сквид с ssl_bump не пускает на некоторые https сайты

Решение