LINUX.ORG.RU
ФорумGeneral

privoxy, https-inspection. Error: A website key already exists but there's no matching certificate.

 ,


0

1

Приветствую всех. Товарищи, помогите разобраться, плз. Есть необходимость осуществлять инспекцию https с целью фильтрации трафика. Настроил privoxy по вот этой статье (https://www.balpom.ru/whitelist/proxy/privoxy-https.html). Но при попытке посетить любой https ресурс получаю в юраузер

Secure Connection Failed

An error occurred during a connection to mail.ru. PR_END_OF_FILE_ERROR

Error code: PR_END_OF_FILE_ERROR

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem.

а в логи privoxy:

2026-02-14 11:17:51.541 7f8a2d6dc6c0 Connect: Accepted connection from 192.168.7.55 on socket 5
2026-02-14 11:17:51.542 7f8a2d6dc6c0 Header: scan: CONNECT mail.ru:443 HTTP/1.1
2026-02-14 11:17:51.543 7f8a2d6dc6c0 Header: scan: User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:147.0) Gecko/20100101 Firefox/147.0
2026-02-14 11:17:51.543 7f8a2d6dc6c0 Header: scan: Proxy-Connection: keep-alive
2026-02-14 11:17:51.543 7f8a2d6dc6c0 Header: scan: Connection: keep-alive
2026-02-14 11:17:51.543 7f8a2d6dc6c0 Header: scan: Host: mail.ru:443
2026-02-14 11:17:51.543 7f8a2d6dc6c0 Header: crumble crunched: Proxy-Connection: keep-alive!
2026-02-14 11:17:51.543 7f8a2d6dc6c0 Header: Keeping the client header 'Connection: keep-alive' around. The server connection will be kept alive if possible.
2026-02-14 11:17:51.545 7f8a2d73dd40 Connect: Waiting for the next client connection. Currently active threads: 1
2026-02-14 11:17:51.558 7f8a2d6dc6c0 Error: A website key already exists but there's no matching certificate. Removing /var/lib/privoxy/certs/05b5616fa89869a19b089f3e29de07521f4c4e088bf5f8951a343ac5ba78f3a0.pem before creating a new key and certificate.
2026-02-14 11:17:51.739 7f8a2d6dc6c0 Error: Parsing issuer key /var/lib/privoxy/certs/05b5616fa89869a19b089f3e29de07521f4c4e088bf5f8951a343ac5ba78f3a0.pem failed: error:1C800064:Provider routines::bad decrypt
2026-02-14 11:17:51.739 7f8a2d6dc6c0 Error: Parsing issuer key /var/lib/privoxy/certs/05b5616fa89869a19b089f3e29de07521f4c4e088bf5f8951a343ac5ba78f3a0.pem failed: error:11800074:PKCS12 routines::pkcs12 cipherfinal error
2026-02-14 11:17:51.740 7f8a2d6dc6c0 Error: Parsing issuer key /var/lib/privoxy/certs/05b5616fa89869a19b089f3e29de07521f4c4e088bf5f8951a343ac5ba78f3a0.pem failed: error:1C800064:Provider routines::bad decrypt
2026-02-14 11:17:51.740 7f8a2d6dc6c0 Error: Parsing issuer key /var/lib/privoxy/certs/05b5616fa89869a19b089f3e29de07521f4c4e088bf5f8951a343ac5ba78f3a0.pem failed: error:11800074:PKCS12 routines::pkcs12 cipherfinal error
2026-02-14 11:17:51.740 7f8a2d6dc6c0 Error: generate_host_certificate() failed: -1
2026-02-14 11:17:51.740 7f8a2d6dc6c0 Error: Failed to open a secure connection with the client
2026-02-14 11:17:51.740 7f8a2d6dc6c0 Connect: Closing client socket 5. Keep-alive: 1. Socket alive: 1. Data available: 1. Configuration file change detected: 0. Requests received: 1.
2026-02-14 11:17:51.740 7f8a2d6dc6c0 Connect: Drained 1892 bytes before closing socket 5.
2026-02-14 11:17:51.746 7f8a2d73dd40 Connect: Waiting for the next client connection. Currently active threads: 1

Очевидно, что я делаю что-то не так, но не могу понять что.

конфиг privoxy:

user-manual /usr/share/doc/privoxy/user-manual
confdir /etc/privoxy
logdir /var/log/privoxy
actionsfile match-all.action # Actions that are applied to all sites and maybe overruled later on.
actionsfile default.action   # Main actions file
actionsfile user.action      # User customizations
filterfile default.filter
filterfile user.filter      # User customizations
logfile logfile
debug     1 # Log the destination for each request. See also debug 1024.
debug     2 # show each connection status
debug     4 # show tagging-related messages
debug     8 # show header parsing
debug   128 # debug redirects
debug   256 # debug GIF de-animation
debug   512 # Common Log Format
debug  1024 # Log the destination for requests Privoxy didn't let through, and the reason why.
debug  4096 # Startup banner and warnings
debug  8192 # Non-fatal errors
debug 65536 # Log applying actions
listen-address  192.168.4.3:8118
toggle  1
enable-remote-toggle  0
enable-remote-http-toggle  0
enable-edit-actions 0
enforce-blocks 1
buffer-limit 16384
enable-proxy-authentication-forwarding 0
forwarded-connect-retries  0
accept-intercepted-requests 1
allow-cgi-request-crunching 0
split-large-forms 0
keep-alive-timeout 5
tolerate-pipelining 1
connection-sharing 1
socket-timeout 300
ca-directory /etc/privoxy/CA
ca-cert-file ca.crt
ca-key-file ca.pem
ca-password KoiU%Ngosmhw#J7KnsE2QXmJ
certificate-directory /var/lib/privoxy/certs

cipher-list TLS-ECDHE-RSA-WITH-CHACHA20-POLY1305-SHA256:TLS-ECDHE-ECDSA-WITH-CHACHA20-POLY1305-SHA256:TLS-DHE-RSA-WITH-CHACHA20-POLY1305-SHA256:TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-ECDSA-WITH-AES-256-CCM:TLS-ECDHE-ECDSA-WITH-AES-256-CCM-8:TLS-ECDHE-ECDSA-WITH-AES-128-CCM:TLS-ECDHE-ECDSA-WITH-AES-128-CCM-8:TLS-ECDHE-ECDSA-WITH-CAMELLIA-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDHE-RSA-WITH-CAMELLIA-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CCM:TLS-DHE-RSA-WITH-AES-256-CCM-8:TLS-DHE-RSA-WITH-AES-128-CCM:TLS-DHE-RSA-WITH-AES-128-CCM-8:TLS-DHE-RSA-WITH-CAMELLIA-128-GCM-SHA256:TLS-ECDH-RSA-WITH-AES-128-GCM-SHA256:TLS-ECDH-RSA-WITH-CAMELLIA-128-GCM-SHA256:TLS-ECDH-RSA-WITH-CAMELLIA-256-GCM-SHA384:TLS-ECDH-ECDSA-WITH-AES-128-GCM-SHA256
trusted-cas-file /etc/ssl/certs/ca-certificates.crt

upd:

  1. пробовал выключать/включать intercept, не помогает;
  2. без https-inspect работает.

Решено:

  1. Перегенерировал сертификат с очень простым паролем. По всей видимости специальные символы ломают логику парсера конфига.
  2. После перегенерации серта, получил ошибку несовпадения протоколов шифрования. Не стал с этим заморачитьваться, закомментировал в конфиге cipher-list, что, по всей видимости, включило все доступные алгоритмы, и всё заработало.

Благодарю всех причастных.



Последнее исправление: avrigus (всего исправлений: 2)
Как запускается Open Gamepad UI?
Где найти нормальный пак иконок сетевого оборудования?
Ответ на: комментарий от kostik87

это было в первую очередь проверенно, а предварительно установлено:

# ls -la /etc/privoxy/CA
итого 16
drwxr-xr-x 2 privoxy root 4096 фев 13 15:23 .
drwxr-xr-x 4 root    root 4096 фев 14 12:20 ..
-rw-r--r-- 1 privoxy root 1253 фев 13 15:23 ca.crt
-rw------- 1 privoxy root 1886 фев 13 15:22 ca.pem

# ps -ef | grep privoxy
privoxy      967       1  0 12:20 ?        00:00:02 /usr/sbin/privoxy --pidfile /run/privoxy.pid --user privoxy /etc/privoxy/config
avrigus
() автор топика
Ответ на: комментарий от avrigus

Что именно было проверено? Я про директорию куда складываются сертификаты сайтов, которые должны фильтроваться.

Privoxy запускается от имени пользователя privoxy.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

это оставил по дефолту:

# ls -la /var/lib/privoxy/certs
итого 44
drwx------ 2 privoxy adm     4096 фев 14 12:47 .
drwxr-xr-x 3 root    root    4096 фев 13 13:42 ..
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 12:21 05b5616fa89869a19b089f3e29de07521f4c4e088bf5f8951a343ac5ba78f3a0.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 12:41 19a3a61b1fee8e4ac6904740c12547c61746b62bcaca77d8905839e482f70e15.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 12:20 1d5f7a636cb6246166d476696e8ff3a97fd53bc191a70fb0f56ff57aafa58668.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 11:39 3a89382624c14be6f9b46ba27222e537fa59f5a36c63aacd6cd762965f1aff0d.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 11:39 6a929cd0b3ba4677eaedf1b2bdaf3ff89281cca94f688c83103bc9a676aea46d.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 12:17 7c4e7828de2ffb8bf706f99bf32a02001c42dbba2955b2cd3cd511b3cae7ce8f.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 12:47 8042375fe8401413ac650140ce305671aa4e3155ef425766a3d99ae29c26b767.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 12:18 e39aff56245d0b2ec8a10056dbdb6f213d38892529930cda348b807ee4b50cb9.pem
-rw-r--r-- 1 privoxy nogroup 1704 фев 14 11:39 f0fa75029afb166605b17fa3f9f08cc543673f75203345e7f127d3031119c199.pem

Да, от имени privoxy.

# ps -ef | grep privoxy
privoxy      967       1  0 12:20 ?        00:00:03 /usr/sbin/privoxy --pidfile /run/privoxy.pid --user privoxy /etc/privoxy/config
avrigus
() автор топика
Последнее исправление: avrigus (всего исправлений: 1)
Ответ на: комментарий от piyavking

хотел бы отправить скрин, но пока не найду через что.

я их могу удалить, что уже делал, они создаются при посещении какого-либо сайта. создаются без проблем, но в логах ошибки по decrypt

avrigus
() автор топика
Ответ на: комментарий от avrigus

жесть какая, не могу найти ни одного рабочего сервиса, чтоб отрправить скрин. сам png ест, а ссылка не рабочая…

https://ibb.co/57Mk28c

вероятно через vpn откроется.

upd: да, через vpn открывается

avrigus
() автор топика
Последнее исправление: avrigus (всего исправлений: 2)
Ответ на: комментарий от avrigus

Ну шевельни извилиной. Вставь на этой страничке в окошко урл, который не грузится, нажми на кнопочку справа, веб-морда тебе напишет, почему привокси его блочит.

piyavking ★★★★★
()
Ответ на: комментарий от avrigus

Как я его пойму, когда ты Final Results обрезал?

Какие-то https-inspection в user.action. Ты его (user.action) редактировал?

piyavking ★★★★★
()
Последнее исправление: piyavking (всего исправлений: 1)
Ответ на: комментарий от piyavking

сейчас он такой:

{{alias}}
+crunch-all-cookies = +crunch-incoming-cookies +crunch-outgoing-cookies
-crunch-all-cookies = -crunch-incoming-cookies -crunch-outgoing-cookies
 allow-all-cookies  = -crunch-all-cookies -session-cookies-only -filter{content-cookies}
 allow-popups       = -filter{all-popups} -filter{unsolicited-popups}
+block-as-image     = +block{Blocked image request.} +handle-as-image
-block-as-image     = -block

fragile     = -block -crunch-all-cookies -filter -fast-redirects -hide-referer -prevent-compression
shop        = -crunch-all-cookies allow-popups

myfilters   = +filter{html-annoyances} +filter{js-annoyances} +filter{all-popups}\
              +filter{webbugs} +filter{banners-by-size}

allow-ads   = -block -filter{banners-by-size} -filter{banners-by-link}



{ allow-all-cookies }

{ -filter{all-popups} }
.banking.example.com

{ -filter }


stupid-server.example.com/


{ +block{Nasty ads.} }
www.example.com/nasty-ads/sponsor.gif

{ +block-as-image }

{ fragile }

{ allow-ads }

{ +set-image-blocker{blank} }




{+https-inspection}
.
avrigus
() автор топика
Ответ на: комментарий от piyavking

точка это маска для каких сайтов включать инспекцию, если её убрать, то инспекция и не работает.

вот лог без точки:

192.168.7.55 - - [15/Feb/2026:16:11:32 +0500] "CONNECT home.imgsmail.ru:443 HTTP/1.1" 200 17554                                                                                                                                                                16:11:32 [54/1961]
2026-02-15 16:11:32.721 7f8970ff96c0 Connect: Closing server socket 19 connected to home.imgsmail.ru. Keep-alive: 0. Tainted: 0. Socket alive: 0. Timeout: 0.
2026-02-15 16:11:32.721 7f8970ff96c0 Connect: Closing client socket 17. Keep-alive: 1. Socket alive: 1. Data available: 0. Configuration file change detected: 0. Requests received: 1.
192.168.7.55 - - [15/Feb/2026:16:11:32 +0500] "CONNECT imgs2.imgsmail.ru:443 HTTP/1.1" 200 47606
2026-02-15 16:11:32.984 7f8952ffd6c0 Connect: Closing server socket 26 connected to imgs2.imgsmail.ru. Keep-alive: 0. Tainted: 0. Socket alive: 0. Timeout: 0.
2026-02-15 16:11:32.984 7f8952ffd6c0 Connect: Closing client socket 25. Keep-alive: 1. Socket alive: 1. Data available: 0. Configuration file change detected: 0. Requests received: 1.
2026-02-15 16:11:33.216 7f8979685d40 Connect: Waiting for the next client connection. Currently active threads: 12
2026-02-15 16:11:33.217 7f8952ffd6c0 Connect: Accepted connection from 192.168.7.55 on socket 11
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: scan: CONNECT imgs2.imgsmail.ru:443 HTTP/1.1
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: scan: User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:147.0) Gecko/20100101 Firefox/147.0
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: scan: Proxy-Connection: keep-alive
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: scan: Connection: keep-alive
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: scan: Host: imgs2.imgsmail.ru:443
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: crumble crunched: Proxy-Connection: keep-alive!
2026-02-15 16:11:33.218 7f8952ffd6c0 Header: Keeping the client header 'Connection: keep-alive' around. The server connection will be kept alive if possible.
2026-02-15 16:11:33.218 7f8952ffd6c0 Request: imgs2.imgsmail.ru:443/
2026-02-15 16:11:33.218 7f8952ffd6c0 Actions: +change-x-forwarded-for{block} +client-header-tagger{css-requests} +client-header-tagger{image-requests} +client-header-tagger{range-requests} +deanimate-gifs{last} +filter{refresh-tags} +filter{img-reorder} +filter{banners-by-
size} +filter{webbugs} +filter{jumping-windows} +filter{ie-exploits} +hide-from-header{block} +hide-referrer{conditional-block} +session-cookies-only +set-image-blocker{pattern}
2026-02-15 16:11:33.219 7f8952ffd6c0 Header: New HTTP Request-Line: CONNECT / HTTP/1.1
2026-02-15 16:11:33.219 7f8952ffd6c0 Connect: to imgs2.imgsmail.ru:443
2026-02-15 16:11:33.327 7f8952ffd6c0 Connect: Connected to imgs2.imgsmail.ru[95.142.203.238]:443.
2026-02-15 16:11:33.327 7f8952ffd6c0 Connect: Created new connection to imgs2.imgsmail.ru:443 on socket 14.
2026-02-15 16:11:33.327 7f8952ffd6c0 Connect: to imgs2.imgsmail.ru:443 successful
2026-02-15 16:11:33.343 7f8970ff96c0 Connect: Accepted connection from 192.168.7.55 on socket 15
2026-02-15 16:11:33.344 7f8970ff96c0 Header: scan: CONNECT o2.mail.ru:443 HTTP/1.1
2026-02-15 16:11:33.344 7f8970ff96c0 Header: scan: User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:147.0) Gecko/20100101 Firefox/147.0
2026-02-15 16:11:33.344 7f8970ff96c0 Header: scan: Proxy-Connection: keep-alive
2026-02-15 16:11:33.344 7f8970ff96c0 Header: scan: Connection: keep-alive
2026-02-15 16:11:33.344 7f8970ff96c0 Header: scan: Host: o2.mail.ru:443
2026-02-15 16:11:33.344 7f8970ff96c0 Header: crumble crunched: Proxy-Connection: keep-alive!
2026-02-15 16:11:33.344 7f8970ff96c0 Header: Keeping the client header 'Connection: keep-alive' around. The server connection will be kept alive if possible.
2026-02-15 16:11:33.344 7f8970ff96c0 Request: o2.mail.ru:443/
2026-02-15 16:11:33.344 7f8970ff96c0 Actions: +change-x-forwarded-for{block} +client-header-tagger{css-requests} +client-header-tagger{image-requests} +client-header-tagger{range-requests} +deanimate-gifs{last} +filter{refresh-tags} +filter{img-reorder} +filter{banners-by-
size} +filter{webbugs} +filter{jumping-windows} +filter{ie-exploits} +hide-from-header{block} +hide-referrer{conditional-block} +session-cookies-only +set-image-blocker{pattern}
2026-02-15 16:11:33.344 7f8970ff96c0 Header: New HTTP Request-Line: CONNECT / HTTP/1.1
2026-02-15 16:11:33.345 7f8970ff96c0 Connect: to o2.mail.ru:443
2026-02-15 16:11:33.343 7f8979685d40 Connect: Waiting for the next client connection. Currently active threads: 13
2026-02-15 16:11:33.398 7f8979685d40 Connect: Waiting for the next client connection. Currently active threads: 14
2026-02-15 16:11:33.399 7f894c7f06c0 Connect: Accepted connection from 192.168.7.55 on socket 17
2026-02-15 16:11:33.401 7f894c7f06c0 Header: scan: CONNECT reklama.mail.ru:443 HTTP/1.1
2026-02-15 16:11:33.401 7f894c7f06c0 Header: scan: User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:147.0) Gecko/20100101 Firefox/147.0
2026-02-15 16:11:33.401 7f894c7f06c0 Header: scan: Proxy-Connection: keep-alive
2026-02-15 16:11:33.401 7f894c7f06c0 Header: scan: Connection: keep-alive
2026-02-15 16:11:33.401 7f894c7f06c0 Header: scan: Host: reklama.mail.ru:443
2026-02-15 16:11:33.401 7f894c7f06c0 Header: crumble crunched: Proxy-Connection: keep-alive!
2026-02-15 16:11:33.401 7f894c7f06c0 Header: Keeping the client header 'Connection: keep-alive' around. The server connection will be kept alive if possible.
2026-02-15 16:11:33.401 7f894c7f06c0 Request: reklama.mail.ru:443/
2026-02-15 16:11:33.401 7f894c7f06c0 Actions: +change-x-forwarded-for{block} +client-header-tagger{css-requests} +client-header-tagger{image-requests} +client-header-tagger{range-requests} +deanimate-gifs{last} +filter{refresh-tags} +filter{img-reorder} +filter{banners-by-
size} +filter{webbugs} +filter{jumping-windows} +filter{ie-exploits} +hide-from-header{block} +hide-referrer{conditional-block} +session-cookies-only +set-image-blocker{pattern}
2026-02-15 16:11:33.401 7f894c7f06c0 Header: New HTTP Request-Line: CONNECT / HTTP/1.1
2026-02-15 16:11:33.401 7f894c7f06c0 Connect: to reklama.mail.ru:443
2026-02-15 16:11:33.420 7f8979685d40 Connect: Waiting for the next client connection. Currently active threads: 15
2026-02-15 16:11:33.420 7f894fff76c0 Connect: Accepted connection from 192.168.7.55 on socket 19
2026-02-15 16:11:33.421 7f894fff76c0 Header: scan: CONNECT r3.mail.ru:443 HTTP/1.1
2026-02-15 16:11:33.421 7f894fff76c0 Header: scan: User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:147.0) Gecko/20100101 Firefox/147.0
2026-02-15 16:11:33.421 7f894fff76c0 Header: scan: Proxy-Connection: keep-alive
2026-02-15 16:11:33.421 7f894fff76c0 Header: scan: Connection: keep-alive
2026-02-15 16:11:33.421 7f894fff76c0 Header: scan: Host: r3.mail.ru:443
2026-02-15 16:11:33.421 7f894fff76c0 Header: crumble crunched: Proxy-Connection: keep-alive!
2026-02-15 16:11:33.421 7f894fff76c0 Header: Keeping the client header 'Connection: keep-alive' around. The server connection will be kept alive if possible.
2026-02-15 16:11:33.421 7f894fff76c0 Request: r3.mail.ru:443/
2026-02-15 16:11:33.421 7f894fff76c0 Actions: +change-x-forwarded-for{block} +client-header-tagger{css-requests} +client-header-tagger{image-requests} +client-header-tagger{range-requests} +deanimate-gifs{last} +filter{refresh-tags} +filter{img-reorder} +filter{banners-by-
size} +filter{webbugs} +filter{jumping-windows} +filter{ie-exploits} +hide-from-header{block} +hide-referrer{conditional-block} +session-cookies-only +set-image-blocker{pattern}
2026-02-15 16:11:33.421 7f894fff76c0 Header: New HTTP Request-Line: CONNECT / HTTP/1.1
2026-02-15 16:11:33.421 7f894fff76c0 Connect: to r3.mail.ru:443
2026-02-15 16:11:33.464 7f8970ff96c0 Connect: Connected to o2.mail.ru[94.100.180.61]:443.
2026-02-15 16:11:33.464 7f8970ff96c0 Connect: Created new connection to o2.mail.ru:443 on socket 16.
2026-02-15 16:11:33.464 7f8970ff96c0 Connect: to o2.mail.ru:443 successful
avrigus
() автор топика
Последнее исправление: avrigus (всего исправлений: 1)
Ответ на: комментарий от firkax

Благодарю, надо посмотреть. Вроде как он не только локальный. Локальный не особо интересен, т.к. в перспективе хочу накрутить на него рекламорезку и clamav для всей домашней сети.

avrigus
() автор топика
Как запускается Open Gamepad UI?
General
Где найти нормальный пак иконок сетевого оборудования?