[FUG-BR] Squid com https

[Welkson Renny de Medeiros]

Em 5 de março de 2015 20:34, Welkson Renny de Medeiros <welkson em gmail.com>
escreveu:

> Em 5 de março de 2015 18:18, MrBiTs <mrbits.dcf em gmail.com> escreveu:
>
>>
>> Se você configurar o squid direito (como me parece que fez) E (e esse é
>> um grande E) colocar no mesmo .pem tanto a chave, o
>> certificado e o certificado intermediário da Startcom, sim, tudo deve
>> funcionar. Eu tenho certificados deles falando com Google,
>> Facebook e outros serviços.
>>
>>
>
> Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução.
>
> Você precisou instalar esse certificado no navegador das máquinas?
>
> Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a
> nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *.
> minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish)
> os caras instalavam um certificado wildcard no navegador do usuário.
>
> Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele
> associa o certificado ao host com uma chave que só o responsável pelo
> domínio teria acesso... o site até pode abrir em MITM, mas o navegador
> deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox).... ou
> não?
>
> Se eu estiver engando, e se você puder, indique algum material para que eu
> possa entender melhor essa solução.
>
> [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning
>
> Welkson
>
>

Complemento para meu e-mail anterior:

http://www.squid-cache.org/mail-archive/squid-users/201409/0002.html

http://security.stackexchange.com/questions/52645/legitimate-use-case-of-man-in-the-middle-attack-for-dpi

"4. Yep Certificate pinning will cause problems with this and is becoming
more common as time goes by. The way this works is that the browser knows
of a specific certificate or set of certificates that it trusts for a given
hostname, and it won't base that trust on certificates being issued by a
known CA. I'm not aware of a way past that problem".

Welkson