[FUG-BR] Squid com https

[MrBiTs]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 03/05/2015 12:54 PM, Renata Dias wrote:
> Boa tarde a todos !
> 
> Fiz várias pesquisas no Google e também na FUG com relação a este assunto "Squid com https". Gerei um certificado "informal" e
> consegui configurar meu Squid para filtrar os acessos na porta 443, porém ainda tenho problemas com o acesso ao Google.
> 
> Ao tentar acessar qualquer serviço do Google que seja https aparece na página do navegador o erro: 
> NET::ERR_CERT_AUTHORITY_INVALID
> 
> Li em alguns fóruns que o Google está aperfeiçoando e atualizando a cada dia a segurança TLS e o que funciona hoje pode não
> funcionar amanhã.
> 
> Pois bem, gostaria de saber se há alguma forma "limpa" de realizar o filtro https, sem precisar forjar certificados ou ainda
> ter que atualizar/reconfigurar o proxy pra tentar burlar alguns sites.
> 
> squid-3.3.4_1
> 
> ------------------------ squid.conf (apenas a parte referente ao https): ------------ https_port 3127 intercept ssl-bump
> generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/etc/squid/ssl_cert/squid.pem
> 
> sslproxy_flags DONT_VERIFY_PEER sslproxy_cert_error allow all ssl_bump server-first all acl grupo2 src 10.0.10.89/32 acl
> grupo2permitidos url_regex -i registro.br scpc.inf.br accounts.google.com www.google.com/calendar http_access deny grupo2
> !grupo2permitidos ------------
> 
> Obrigada.
> 

Qual foi o tamanho da cahve que você gerou? Hoje o pessoal barra qualquer coisa menor que 2048 bits.

Há também o problema da CA, já que um certificado auto-assinado não a possuí.

Se você não quer gastar dinheiro, vá até o www.startssl.com e registre-se. Eles geram um certificado SSL válido (naturalmente não
é um EV, mas serve) e ainda te dão o intermediate para você colocar no seu pem e ser aceita por aí.

Um abraço

- -- 
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBCAAGBQJU+H6pAAoJEG7IGPwrPKWr8acH/RUG0DMsp6ZqHbpB7xQee/z3
K+BvZzVzxsVon2n9lgkMD1wPhZXUgZoKxgS28bJHMSahDzkvpABnHG/OojB5GCyK
iO8W8ufFOjy/P7XTgslsPppWodU20q3uxOrsJA1kN1seQmip5t4WUApmE01ytJCh
nmtjLXx93zsh02n9+W7vvHMNLHF0thO+xsB5Z66D99RUJr/DRSyDGECW0/K0i1TL
lk12A9WMlyAeMI3XvH9/FAAfNZ8Mj3zzUY0zu19EzbwAMMHWaYkLDC8T+wtwvlPb
ugWj6Pn104Jgke/tgAz9ZOm106B+7GHBqqiCgn9pFdB6fqz8s+4XC3j12EQyYi8=
=y6Ep
-----END PGP SIGNATURE-----