LINUX.ORG.RU
ФорумAdmin

Squid. Проксирование без ругани на сертификат

 , ,


1

2

Всем привет. Делаю captive portal для авторизации в wifi сегменте. При попытке зайти на любой http перекидывает на локальную страницу авторизации. А если указан httpS, то ошибка сертификата... Может кто уже сталкивался...Как сделать что бы вы любом случае перекидывало без ошибок?

На чей сертификат ругается?

Если на сертификат твоего портала - то пометить как trusted, что-то вроде

sslproxy_cert_adapt setCommonName ssl::certDomainMismatch all
acl TrustedServer ssl::server_name <домен>
sslproxy_cert_error allow TrustedServer
sslproxy_cert_sign signTrusted TrustedServer
acl step1 at_step SslBump1
ssl_bump stare step1
ssl_bump bump all

murderer ()

Ты же делаешь Man in the Middle атаку, чего удивляешься?

Vovka-Korovka ★★★★★ ()

А если указан httpS, то ошибка сертификата

Чувак, ты не поверишь... Если подсовывать поддерльный сертификат, то браузер будет предупреждать о поддельном сертификате. by design

router ★★★★★ ()
Ответ на: комментарий от router

В данном случае он не подсовывает поддельный сертификат.
Просто отвечает на SSL handshake своей страницей.

Браузер, закономерно, шлёт его лесом.

aidaho ★★★★★ ()
Ответ на: комментарий от aidaho

В данном случае он не подсовывает поддельный сертификат. Просто отвечает на SSL handshake своей страницей.

От создателей

  • «Вещи не краденые, просто за них не заплатили»
  • «Панк не умер, он просто так пахнет»
router ★★★★★ ()
Ответ на: комментарий от aidaho

Может конечно есть какое расширение для TLS, но я о таком не слышал

Даже провайдеры под списком роскомозора дают страницу, на которой проверка сертификата не проходит

router ★★★★★ ()
Последнее исправление: router (всего исправлений: 2)
Ответ на: комментарий от router

1) Клиент шлёт свой криптопривет.
2) Сервер должен ответить своим сертификатом и списком шифров.
3) Вместо этого он выплёвывает html страницу.
4) Браузер восклицает «ах ты ж хитрая жопа»!

То есть, технически, это не ситуация с поддельным сертификатом.
Просто нарушение протокола.

aidaho ★★★★★ ()

Без шаманства с клиентом - никак.

Только ставить клиентам свой корневой сертификат в доверенные, и генерить соответственно для каждого запрашиваемого сайта свой сертификат.

AlexAT ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.