Squid3 + свои сертификаты для https + Skype =?

Question

[Роман Кулакович]

Доброе время суток. Не могу заставить авторизовываться Skype. Помогите советом, что упускаю из внимания?

Использую:
pfSense 2.2.1-RELEASE (amd64) FreeBSD 10.1-RELEASE-p6
squid3 v0.3.4

Настроена фильтрация https через свои сертификаты, Squid работает как часы, никаких нареканий к его работе нет. В довесок к нему поставил SquidGuard, аналогично, проблем с серфингом в интернете нет. Видео, музыка блокируется. Сайты которые мешают работать, больше не отвлекают юзеров от работы. А вот в случае со Skype все плохо. Если выключить фильтрацию https, то авторизация проходит.

Я так полагаю Skype использует свои сертификаты для подключения к серверу, и не обращает внимания на те, что находятся в "доверенных центрах сертификации". Прав ли я в своей догадке и как можно решить эту проблему? Не пускать же всех, кто использует Skype мимо прокси...

Comments

[Lexus34]

Skype использует свое хранилище корневых CA и не использует системное, он не может проверить что сертификат squid'а был выдан доверенным корневым центром сертификации. Я думаю с включенным SSL_BUMP подключиться не получится.

[Роман Кулакович]

Lexus345: верю, что способ есть :)

Answer 1

[Николай Чуприна]

Если вы фильтруете HTTPS-сайты через Squid, то Peek and Splice скорее всего не поможет!
Вы не знаете заранее с какими серверами соединяется Skype - а списка его серверов не существует как такового, ибо P2P.
Я для себя нашел решение на pfSense - установка 3proxy и последующая настройка клиентов Skype на него.
Пока тестирую - на нескольких машинках Skype через 3proxy работает без проблем.
Таким образом вы не потеряете возможность фильтровать HTTPS-сайты и Skype у вас будет идти по отдельному каналу. Как устанавливать 3proxy к сожалению не записал, самому придется восстанавливать инфу.

Comments

[Роман Кулакович]

Спасибо за наводку, попробую как руки доберутся :)

Answer 2

[Дмитрий Лебедев]

Вот тут галочка на для 80 и 443 порта стоят?
https://yadi.sk/i/Pgk43gP9jQvNp

Comments

[Роман Кулакович]

Конечно. Но пробовал и без неё, и дополнительно порты открывал. Все утыкается именно в фильтрацию https

[Дмитрий Лебедев]

Роман Кулакович: беглый поиск по Google навел на такие ссылки srez.org/2014/05/skype-cherez-proxy-squid.html ну и wiki.squid-cache.org/ConfigExamples/Chat/Skype

Answer 3

[Никита Парфенович]

А Вы попробуйте зайти на гуглпочту. Зашли? Нет))) Вот поэтому и скайп не авторизовывается. У вас MITM, что недопустимо на таких ресурсах, как Skype, личная почта и т.п. Курите тему Peek and splice без подмены сертификатов.

Comments

[Роман Кулакович]

Зашел. А не должен был? Любой https ресурс, подписанный абсолютно любым сертификатом работает. Проблема только со Skype и только с ним.

[Никита Парфенович]

Роман Кулакович: странно, но у меня с самоподписанными сертификатами не заходит на гуглпочту и в скайп, ссылаясь на что-то в роде MITM detected. В общем, либо сделайте себе нормальные сертификаты, которые проходят проверку подлинности и будут являться доверенными, либо используйте проксирование без подмены сертификатов (peek and splice). Фильтровать будете по server_name, который Squid будет выдергивать из sni_info при создании соединения с запрашиваемым сервером

[Роман Кулакович]

Никита Парфенович: попробуйте по такой ссылке https://mail.google.com/mail/u/1/#inbox должно пустить. А gmail.com, да, ругается ssl_error_bad_cert_domain

[Никита Парфенович]

Роман Кулакович: попробовать не смогу, так как у меня Squid работает без MITM атаки и прекрасно фильтрует https

[Роман Кулакович]

Никита Парфенович: у вас он просто смотрит заголовки, мне это не достаточно. Я уже рассматривал такой вариант, но увы.

[Никита Парфенович]

Роман Кулакович: Мне тоже хочется перекрывать отдельные страницы https ресурса, но MITM недопустим, потому что банк-клиенты не работают. А так общаюсь с разработчиками по этому поводу, вроде как обещают решение какое-то

[Роман Кулакович]

Никита Парфенович: ну с банк клиентами же проще все, их можно добавить в исключения. Один адрес на один банк...