squid transparent ssl-bump
Добавлено: 2013-10-31 10:59:50
На cisco ASA включён WCCP.
Если использовано не прозрачное проксирование, а указать браузеру проксисервер и добавить сертификаи в доверенные в браузере, то всё хорошо, https трафик виден в логах. Но если использовать прозрачное проксирование через WCCP, то появляется такая вот ошибка:
Вероятно, это не тот сайт, который вы ищете!
Вы попытались перейти на сайт mail.ru, однако были направлены на сервер 217.69.139.201. Переадресации подобного рода происходят из-за ошибок конфигурации сервера, либо в случае если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную) копию страницы mail.ru.
Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для данного сайта.
т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip адрес.
Как это можно пофиксить?
В это статье (http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что это можно как-то исправить, но что конкеретно делать не сказано... может кто-то сталкивался?
Код: Выделить всё
#HTTP transparent SSL
http_port 172.17.0.251:3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem
http_port 172.17.0.251:3129 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem
https_port 172.17.0.251:3140 transparent ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/ssl_cert/myCA.pem options=NO_SSLv3
#/HTTP transparent SSL
#wccp
wccp2_router %ip_router%
wccp2_forwarding_method 1
wccp2_return_method 1
wccp2_service standard 0
wccp2_service dynamic 70
wccp2_service_info 70 protocol=tcp priority=240 ports=443
#/wccp
#Настройки для работы с ssl
sslproxy_cert_error allow all
sslproxy_cert_adapt setValidAfter
sslproxy_flags DONT_VERIFY_PEER
always_direct allow all
ssl_bump allow all
ssl_bump client-first all
ssl_bump server-first all
ssl_bump none all
sslcrtd_program /usr/local/libexec/squid/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB
#sslcrtd_children 5
#/Настройки для работы с ssl
Вероятно, это не тот сайт, который вы ищете!
Вы попытались перейти на сайт mail.ru, однако были направлены на сервер 217.69.139.201. Переадресации подобного рода происходят из-за ошибок конфигурации сервера, либо в случае если кто-то пытается заставить вас посетить фальсифицированную (и потенциально вредоносную) копию страницы mail.ru.
Не стоит продолжать, особенно если ранее вы не видели этого предупреждения для данного сайта.
т.к. я пытаюсь зайти на хостнейм mail.ru, а получаю сертификат на ip адрес.
Как это можно пофиксить?
В это статье (http://wiki.squid-cache.org/Features/MimicSslServerCert) сказано что это можно как-то исправить, но что конкеретно делать не сказано... может кто-то сталкивался?