Sziasztok
Van egy PfSense tűzfalam, azon fut egy squid és squid guard. A Squid Guardal szeretném megoldani, hogy bizonyos ip-címeken tiltson weboldalakat, és ha valaki ezt megnyitja, akkor egy a tiltást közlő oldalra irányítsa át. A squid-ban be van kapcsolva a transparent mode és az SSL bump. Pfsens-en tanusítvány létre lett hozva, és a tanusítvány fent van az adott gépeken. Valamint a tiltás közlő oldal is ezt a tanusítványt használja.
Némelyik oldallal ez működik is, de a többségnél ERR_SSL_PROTOCOL_ERROR-t ír. pl. facebook.com, gmail.com stb. Van megoldás rá, hogy ezeknél az oldalaknál is megjelenjen a tiltást közlő oldal, és az Én beállításaimban van a hiba, vagy hiába kínlódok vele, szépen nem lehet megoldani, mert nem fogja engedni átirányítani magát?
- 636 megtekintés
Hozzászólások
> ERR_SSL_PROTOCOL_ERROR
Ezen a ponton nézelődni kell, hogy mond-e még valamit a böngésző. Például, hogy ő https-sel kommunikálna, de a te squid-od fixen plain http-re van beállítva.
Aztán ott van a curl, wget és főleg openssl s_client, azokkal is lehet debuggolni.
- A hozzászóláshoz be kell jelentkezni
Vakon arra tippelek, hogy hozzájuk CAA rekord. És nem passzol ahhoz, ami neked van.
- A hozzászóláshoz be kell jelentkezni
nekem is ez volt a tippem amikor láttam ezt a topic-ot, de nem találtam infót arról, hogy a böngészők használják ezt a feature-t (sőt, az ehhez való RFC 6844 szerint nem is szabadna használniuk a validáláshoz)
// Happy debugging, suckers
#define true (rand() > 10)
- A hozzászóláshoz be kell jelentkezni
Meh, utána kellett volna olvasnom, mielőtt a beállítására pazarlom az időt :D
- A hozzászóláshoz be kell jelentkezni
Nem tettél azzal rosszat, abban segít valamennyit, hogy legit CAk ne állítsanak ki certet a domainedre, ha egyébként sikerülne valahogy átbaszni őket.
- A hozzászóláshoz be kell jelentkezni
hu talan 3 eve lattam egy oktatast tanusitvanyok temaban, ott valami olyanrol is szo volt, hogy van egy nyilvantartas az ismertebb siteok cert fingerprintjeibol, ugy remlik a google uzemelteti, es a bongeszok az alapjan ellenorzik... de nagyon homalyosak mar errol az emlekeim :(
illetve meg az OCSP jut eszembe, pl uj fizetos certeknel az elso par percben/oraban a mozilla szokott miatta sirni
- A hozzászóláshoz be kell jelentkezni
hu talan 3 eve lattam egy oktatast tanusitvanyok temaban, ott valami olyanrol is szo volt, hogy van egy nyilvantartas az ismertebb siteok cert fingerprintjeibol, ugy remlik a google uzemelteti, es a bongeszok az alapjan ellenorzik... de nagyon homalyosak mar errol az emlekeim :(
Certificate transparencyre gondolsz imho, de az csak a public CAk által kibcsáltott tanúsítványoknál van ellenőrizve. Illetve az nem protokoll error, van neki valami dedikált cert transparency required üzenete.
- A hozzászóláshoz be kell jelentkezni
Csak kérdéseim vannak.
- A kérdéses kliensek milyen operációs rendszert futtatnak és milyen böngészőt? Az, hogy a gépen ott van a tanusítvány (értem ez alatt, hogy az operációs rendszer tanusítvány tárolójában benne vannak), nem jelenti pl Linuxon, hogy minden böngésző megbízik benne. A Firefoxnak pl külön tanusítványtárolója van.
- Ha az adott oldalt mondjuk curl -lel megküldöd, mit mond? A parancs: curl -sv https://www.facebook.com/
- A Squid-ben be van kapcsolva... létre lett hozva... stb, tök fasza, de a Squid-ben az a tanusítvány van beállítva, amit a pfSense-ben létrehoztál?
- Mindig érdemes megnézni a kigenerált (esetedben Squid) konfigot is, és értelmezni az alkalmazás kontextusában. Mi is küzdöttünk sokat a pfSense Squid integrációjával, és hát finoman szólva is vannak hiányosságai.
- A hozzászóláshoz be kell jelentkezni
Ha esetleg kaphatnánk valami infót arról, hogy mi látszik pl a kliensekről ebben az esetben, az segítene... Mondjuk a cert, amit látnak, vagy egy wireshark dump, valami...
- A hozzászóláshoz be kell jelentkezni