由於證書錯誤,無法從 squid 載入圖像和样式表?
我剛剛在Raspberry PI 3 上設置了Gate Sentry,它包含 Squid 3 作為其代理鏈的一部分。
它還使用 ssl bump,並且某些使用 SSL 的網站(通常是大型網站,如 Facebook 和 Youtube)不允許使用證書。當頁面本身載入時,它通常不會載入駐留在靜態 CDN 伺服器上的圖像或樣式表。
例如,在載入 facebook 時,我在瀏覽器中收到以下錯誤:
載入資源失敗:此伺服器的證書無效。您可能正在連接到偽裝成“static.xx.fbcdn.net”的伺服器,這可能會使您的機密資訊面臨風險。
在魷魚日誌中,我得到以下資訊:
XXXXXXXX.XXX 166 127.0.0.1 NONE/200 0 CONNECT scontent-yyz1-1.xx.fbcdn.net:443 - HIER_DIRECT/31.13.80.12 -雖然我知道這實際上只是在抱怨這是一個中間人攻擊,這基本上就是 ssl bump 是什麼……我真的只是想過濾流量,並使其能夠打開某些網站並確定網站在某些時候關閉;但是如果你想過濾一個 tls/ssl 站點,這是必需的。話雖如此,在其他時候,我希望允許人們在我的網路上使用 Facebook,而不是在工作時間。
我也知道我從伺服器下載並安裝在測試筆記型電腦上的證書可能不是最好的使用方法,我什至認為它可能是問題的根源,因為它未經 CA 認證.
如果我決定使用的證書是由 CA 認證的,這會起作用嗎?我需要在瀏覽器中安裝什麼樣的證書才能避免抱怨?如果我想最終對此進行透明代理,過程是否相同?
GateSentry 會即時生成您正在訪問的主機的證書,以便您的瀏覽器相信它正在訪問原始站點。
該證書必須由您的瀏覽器信任的證書頒發機構簽名,否則您將收到錯誤消息,例如您看到的錯誤消息。GateSentry 帶有一個您可以安裝的預設 CA 證書。
要讓您的瀏覽器信任此 CA 證書,您必須將其添加到瀏覽器的信任錨列表中。
您如何做到這一點取決於瀏覽器和作業系統,並且必須在使用您的網路的每台電腦上完成。
我相信 GateSentry 使用的預設 CA 證書是由 ai.com 生成的自簽名證書。當您將證書添加到您的信任錨列表時,您基本上是在說您信任該組織。你聽說過 ai.com,更不用說相信他們了嗎?這當然是您的決定,但我會認真考慮用您自己的自簽名證書替換該證書 - 畢竟,我相信您比任何人都更信任自己;尤其是你從未聽說過的人!
更糟糕的是 - 如果您決定信任筆記型電腦、平板電腦或智能手機上的 ai.com 證書,那麼將來您可能會使用同樣使用 GateSentry 的 WiFi 服務,如果他們使用相同的 ai.com 證書,您將與他們分享您的所有私人資訊!
您不能使用由商業 CA 簽名的證書,因為您需要的證書必須是 CA 證書,而不是最終實體證書(例如 TLS 證書)。CA 證書可以簽署從屬證書,例如 GateSentry 模擬的 TLS 證書。您可以從商業 CA 購買的 SSL/TLS 證書無法簽署從屬證書,因此在這種情況下沒有用處。CA 通常不會頒發 CA 證書,也絕對不會對個人頒發 CA 證書。