Squid. Проксирование без ругани на сертификат

1

2

Всем привет. Делаю captive portal для авторизации в wifi сегменте. При попытке зайти на любой http перекидывает на локальную страницу авторизации. А если указан httpS, то ошибка сертификата... Может кто уже сталкивался...Как сделать что бы вы любом случае перекидывало без ошибок?

Ссылка

←	SQUID и авторизация на сайте по ЭЦП

Openwrt wan lan объединение 2х сегментов сети

→

На чей сертификат ругается?

Если на сертификат твоего портала - то пометить как trusted, что-то вроде

sslproxy_cert_adapt setCommonName ssl::certDomainMismatch all
acl TrustedServer ssl::server_name <домен>
sslproxy_cert_error allow TrustedServer
sslproxy_cert_sign signTrusted TrustedServer
acl step1 at_step SslBump1
ssl_bump stare step1
ssl_bump bump all

murderer
(28.12.17 08:26:38 MSK)

Ответ на: комментарий от murderer 28.12.17 08:26:38 MSK

увы не помогло

letnab001
(28.12.17 08:59:46 MSK) автор топика

Ссылка

Ты же делаешь Man in the Middle атаку, чего удивляешься?

Vovka-Korovka ★★★★★
(28.12.17 10:13:51 MSK)

Ссылка

Единственный выход - https://wiki.squid-cache.org/Features/DynamicSslCert, но придется импортировать свой рутовый сертификат на все клиенты. Либо пусть клиенты терпят эти ошибки.

Vovka-Korovka ★★★★★
(28.12.17 10:15:50 MSK)

Ссылка

А если указан httpS, то ошибка сертификата

Чувак, ты не поверишь... Если подсовывать поддерльный сертификат, то браузер будет предупреждать о поддельном сертификате. by design

router ★★★★★
(28.12.17 13:22:01 MSK)

Ответ на: комментарий от router 28.12.17 13:22:01 MSK

В данном случае он не подсовывает поддельный сертификат.
Просто отвечает на SSL handshake своей страницей.

Браузер, закономерно, шлёт его лесом.

aidaho ★★★★★
(28.12.17 13:27:44 MSK)

Ответ на: комментарий от aidaho 28.12.17 13:27:44 MSK

В данном случае он не подсовывает поддельный сертификат. Просто отвечает на SSL handshake своей страницей.

От создателей

«Вещи не краденые, просто за них не заплатили»
«Панк не умер, он просто так пахнет»

router ★★★★★
(28.12.17 14:14:52 MSK)

Ссылка

Ответ на: комментарий от aidaho 28.12.17 13:27:44 MSK

Может конечно есть какое расширение для TLS, но я о таком не слышал

Даже провайдеры под списком роскомозора дают страницу, на которой проверка сертификата не проходит

router ★★★★★
(28.12.17 14:15:40 MSK)
Последнее исправление: router 28.12.17 14:17:39 MSK (всего исправлений: 2)

Ответ на: комментарий от router 28.12.17 14:15:40 MSK

1) Клиент шлёт свой криптопривет.
2) Сервер должен ответить своим сертификатом и списком шифров.
3) Вместо этого он выплёвывает html страницу.
4) Браузер восклицает «ах ты ж хитрая жопа»!

То есть, технически, это не ситуация с поддельным сертификатом.
Просто нарушение протокола.

aidaho ★★★★★
(28.12.17 14:23:00 MSK)