Squid SSL Bump - obteniendo un "emisor desconocido" a pesar de tener un certificado, ¿necesito CA?

3

Estoy usando pfSense en la puerta de enlace de mi red. Configuré Squid y habilité el filtrado HTTPS. Creé la CA interna y configuré Squid para usar esta CA interna para SSL Bump.

Ahora el problema es cuando intento acceder a cualquier sitio, esto muestra un mensaje de advertencia que indica que el certificado no es de un emisor válido, "sec_error_unknown_issuer". Además, la mayoría de los navegadores implementan el HTTPS Strict (HSTS) para que no permitan que los sitios se abran con el certificado no confiable.

Compré un certificado de servidor y lo agregué a la CA, pero Squid ni siquiera se iniciará.

¿Qué debo hacer? ¿Debo agregar el certificado raíz de la autoridad certificadora o no puedo omitir este mensaje de advertencia? Para el bump SSL, todo lo que Squid debe hacer es comportarse como un servidor para el cliente y como un cliente para el servidor.
Si genera un certificado para un sitio web en particular, entonces, lógicamente, no es posible.

Mi pregunta es cómo evitar este mensaje de advertencia en la máquina cliente. Intenté agregar los certificados a las listas de Firefox pero esto no ayuda debido a HSTS.

    
pregunta shiv garg 22.06.2015 - 15:14
fuente

1 respuesta

2

Debe agregar el certificado CA generado en su navegador ya que squid está realizando MITM en sus conexiones https.

    
respondido por el r00t 22.06.2015 - 15:18
fuente

Lea otras preguntas en las etiquetas