Вопрос по SQUID SLL bump и сертификаты?

Question

[zebox]

Всем привет!
Вопрос наверное разжеванный миллион раз, но может я что упустил.
Суть вопроса в следующем:
Есть шлюз на котором поднят и настроен прозрачный SQUID (3.5.19) с поддержкой SSL.
Настраивал по статье . Все работает без проблем, прозрачность, https сайты, все ОК.
НО если я ограничиваю доступ (по mac адресам, без какой-либо фильтрации), то возникает проблема.
У меня настроена опция deny_info, которая при запрете выкидывает пользователя на определенную страницу. Если это сайт обычный (без HTTPS), то редирект происходит как нужно, но в случае с HTTPS в браузерах появляется сообщение о том, что сертификат не достоверный и дальнейшего редиректа на страницу deny_info не происходит. Как я понимаю если доступ в Интернет открыт, то клиент получает сертификат удаленного сервера, если доступа ограничен, то клиенту "прилетает" сертификат , который я генерировал через opensll и подставил в конфигурацию squid-а. Естественно он не достоверный. Насколько я понимаю можно купить достоверный сертификат и подсунуть сквиду.
А можно ли как-то обойти данную проблему, чтобы пользователь все таки попадал на страницу запрета?

Comments

[Ульрих]

Аналогичная проблема. Решения никто так и не нашел. Я даже писал в рассылку squid, там сказали, что это невозможно

[zebox]

Ульрих: Скорее всего так и есть. Это бы нарушало принцип работы ssl, в котором шифрование не разрывно связано с сертификатом. Как я понял для squid при ssl в любом случае кидает свой сертификат, который может быть доверенным только в случае его выпуска доверенным ЦС. Выход один покупать сертификат! Думаю что как-то так.

[Ульрих]

zebox: у меня в любом случае была ошибка, потому что:
1) Баним сайт ya.ru
2) Заходим на ya.ru
3) Squid подсовывает свой сертификат (доверенный, недоверенный, неважно)
4) Браузер сверяет CN в сертификате
5) Отсюда и ошибка: CN у сайта ya.ru, CN у нашего сертификата - да что угодна, например FQDN хоста
6) Даже если сертификат будет доверенным, браузер всё равно выдаст ошибку

[zebox]

Ульрих: Да. Действительно Вы правы. Проверил у себя. Даже при доверенном сертификате выдает ошибку и причина именно в URL-CN :(... Учитывая, что сами разработчики squid подтвердили невозможность решения, то дальнейшие попытки бессмысленны, по крайней мере с "кальмаром".

[Ульрих]

zebox: ну может когда-нибудь они решат эту проблему. Мне бы было достаточно, чтобы после terminate сайта было перенаправление на обычную страницу кальмара "доступ запрещен". Не думаю, что это невозможно в принципе.

[Ульрих]

zebox: надо посмотреть как это делают передовики интернет-шлюзов: Kerio Control и Айдеко. У керио уже давно заявлена фильтрация HTTPS, у Айдеко тоже

[zebox]

Ульрих: Да мне вот тоже только и нужно получить страницу запрета сквида.
С Айдако не сталкивался, а вот Kerio, по моему, когда то использовал squid в своих сборках (которые ставились в виде LinuxOS). Подумываю накостылять через privoxy или polipo (в режиме socket) но там, как мне кажется, вообще все грустно.

[Ульрих]

zebox: ну Айдеко точно сквид использует, и Керио, мне кажется, тоже. Просто они, наверняка, под себя дописывали и кодом не поделились с сообществом :)

Answer 1

[DuD]

Для этого вам нужно:
1) добавить на все тачки ваш сертификат в довернные(тогда не будет ругаться)
2) Выпускать сертификат для запрошенного сайта(возможно автоматически). Тогда ваш редирект будет проходит нормально.

Вот тут подробности: wiki.squid-cache.org/Features/DynamicSslCert

Comments

[zebox]

Проблема в том, что нет возможности устанавливать сертификат на все "тачки", по той простой причине, что этот прокси ограничивает доступ клиентов публичного wi-fi. Причем если заходить с обычных ПК, то некоторые сразу попадают на страницу запрета с предложением авторизоваться, некоторые получают ошибку сертификата. На мобильном же устройстве (Android) появляется уведомление о том, что необходимо авторизоваться и если его выбрать, то также попадаешь на нужную страницу. Но не все пользователи догадываются выбрать это уведомление и лезут сразу в браузер и свои приложения где сразу получают предупреждение относительно сертификата.

[DuD]

zebox: аааа, ну тут тогда вам никак проблему эту не решить. https на то и https чтобы быть закрытым. Так что у вас сейчас программа максимум реализована.