Re: [FUG-BR] Certificado SSL no SQUID
2013/10/30 Marcus Vinicius. : > Rafael, ótima explicação! Vou dar uma olhada sobre o assunto. Você > teria ideia sobre quanto seria essa brincadeira? rs Boa tarde Marcus, eu nunca consegui obter informações sobre os valores. Como é algo mais privativo e interno das empresas de assinatura de certificados, elas pedem para entrar em contato para fazer parcerias para a venda de certificados. Não existe uma solução do modo como precisamos para o Squid+SSLBump. Então essas empresas veem como a necessidade de se ter um certificado capaz de assinar outros certificados, como um comércio, venda de certificados, por isso imagino que o valor deva ser muito alto. Mas infelizmente nunca consegui saber qual seria este valor. Como eu consegui resolver o meu problema tendo um CA não confiável, mas fornecendo a chave publica deste CA para instalação nos browsers, eu fiquei satisfeito com a solução e parei por aqui. Mas se alguém conseguir falar com alguma certificadora (Verisign, Thawte, RapidSSL, CertSign, e outras), e conseguir obter um valor, eu gostaria de saber também. -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
Em 30 de outubro de 2013 09:37, Marcus Vinicius. escreveu: > Em 30 de outubro de 2013 11:32, Marcus Vinicius. > escreveu: >> Welkson, já o meu maior interesse seria o cache mesmo. Essa minha >> necessidade de cache se dá mais pelo link baixo. >> >> Rafael, ótima explicação! Vou dar uma olhada sobre o assunto. Você >> teria ideia sobre quanto seria essa brincadeira? rs >> >> Em 30 de outubro de 2013 11:05, Rafael Henrique Faria >> escreveu: >>> Eu tenho utilizado o SSLBump a algum tempo, e funcionado perfeitamente. >>> >>> Eu não sei se você conseguiria ter um certificado simples de SSL para >>> usar com ele. >>> Pois na verdade você precisa ser um CA. Então o seu certificado >>> precisaria ser de um nível bem elevado, que permita você assinar >>> outros certificados. >>> Pois é isso que o SSLBump faz, ele cria um certificado para cada domínio. >>> >>> O que eu fiz, foi criar um CA não confiável, configurei o squid para >>> assinar os certificados gerados dinamicamente com este CA, e instalo >>> este CA em todos os micros que irão utilizar o proxy. Assim ele não >>> fica avisando o problema do certificado para cada site. >>> >>> Mas pela lógica também seria possível você utilizar um certificado >>> confiável, porém como disse anteriormente, você precisa ter um nível >>> do certificado que permita que você assine outros. E com certeza isso >>> não sairá nenhum pouco barato. Além do sério risco de segurança caso >>> esse seu certificado caia em mãos erradas. Esses tipos de certificados >>> são protegidos de uma maneira muito rigorosa. >>> >>> >>> >>> 2013/10/30 Marcus Vinicius. : Bom dia, senhores! O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o certificado que é gerado na máquina não possui assinatura, logo sempre ocorre o erro no navegador quanto à validade desse certificado. Isso é um pouco constrangedor. Agora a minha pergunta é: é possível usar um certificado SSL (ex: da empresa Comodo) no squid3 também para que não haja mais essa mensagem de possível fraude? Desde já, agradeço! Abraços. -- Att, Marcus Vinicius. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> >>> >>> -- >>> Rafael Henrique da Silva Faria >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> >> >> -- >> Att, >> Marcus Vinicius. > > Desculpa pelo top-posting, galera! > > -- > Att, > Marcus Vinicius. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Também fiquei interessado em saber o custo. -- Neerlan Amorim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
Welkson, já o meu maior interesse seria o cache mesmo. Essa minha necessidade de cache se dá mais pelo link baixo. Rafael, ótima explicação! Vou dar uma olhada sobre o assunto. Você teria ideia sobre quanto seria essa brincadeira? rs Em 30 de outubro de 2013 11:05, Rafael Henrique Faria escreveu: > Eu tenho utilizado o SSLBump a algum tempo, e funcionado perfeitamente. > > Eu não sei se você conseguiria ter um certificado simples de SSL para > usar com ele. > Pois na verdade você precisa ser um CA. Então o seu certificado > precisaria ser de um nível bem elevado, que permita você assinar > outros certificados. > Pois é isso que o SSLBump faz, ele cria um certificado para cada domínio. > > O que eu fiz, foi criar um CA não confiável, configurei o squid para > assinar os certificados gerados dinamicamente com este CA, e instalo > este CA em todos os micros que irão utilizar o proxy. Assim ele não > fica avisando o problema do certificado para cada site. > > Mas pela lógica também seria possível você utilizar um certificado > confiável, porém como disse anteriormente, você precisa ter um nível > do certificado que permita que você assine outros. E com certeza isso > não sairá nenhum pouco barato. Além do sério risco de segurança caso > esse seu certificado caia em mãos erradas. Esses tipos de certificados > são protegidos de uma maneira muito rigorosa. > > > > 2013/10/30 Marcus Vinicius. : >> Bom dia, senhores! >> >> O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o >> certificado que é gerado na máquina não possui assinatura, logo sempre >> ocorre o erro no navegador quanto à validade desse certificado. Isso é >> um pouco constrangedor. >> >> Agora a minha pergunta é: é possível usar um certificado SSL (ex: da >> empresa Comodo) no squid3 também para que não haja mais essa mensagem >> de possível fraude? >> >> Desde já, agradeço! >> >> Abraços. >> >> -- >> Att, >> Marcus Vinicius. >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > Rafael Henrique da Silva Faria > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att, Marcus Vinicius. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
Em 30 de outubro de 2013 11:32, Marcus Vinicius. escreveu: > Welkson, já o meu maior interesse seria o cache mesmo. Essa minha > necessidade de cache se dá mais pelo link baixo. > > Rafael, ótima explicação! Vou dar uma olhada sobre o assunto. Você > teria ideia sobre quanto seria essa brincadeira? rs > > Em 30 de outubro de 2013 11:05, Rafael Henrique Faria > escreveu: >> Eu tenho utilizado o SSLBump a algum tempo, e funcionado perfeitamente. >> >> Eu não sei se você conseguiria ter um certificado simples de SSL para >> usar com ele. >> Pois na verdade você precisa ser um CA. Então o seu certificado >> precisaria ser de um nível bem elevado, que permita você assinar >> outros certificados. >> Pois é isso que o SSLBump faz, ele cria um certificado para cada domínio. >> >> O que eu fiz, foi criar um CA não confiável, configurei o squid para >> assinar os certificados gerados dinamicamente com este CA, e instalo >> este CA em todos os micros que irão utilizar o proxy. Assim ele não >> fica avisando o problema do certificado para cada site. >> >> Mas pela lógica também seria possível você utilizar um certificado >> confiável, porém como disse anteriormente, você precisa ter um nível >> do certificado que permita que você assine outros. E com certeza isso >> não sairá nenhum pouco barato. Além do sério risco de segurança caso >> esse seu certificado caia em mãos erradas. Esses tipos de certificados >> são protegidos de uma maneira muito rigorosa. >> >> >> >> 2013/10/30 Marcus Vinicius. : >>> Bom dia, senhores! >>> >>> O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o >>> certificado que é gerado na máquina não possui assinatura, logo sempre >>> ocorre o erro no navegador quanto à validade desse certificado. Isso é >>> um pouco constrangedor. >>> >>> Agora a minha pergunta é: é possível usar um certificado SSL (ex: da >>> empresa Comodo) no squid3 também para que não haja mais essa mensagem >>> de possível fraude? >>> >>> Desde já, agradeço! >>> >>> Abraços. >>> >>> -- >>> Att, >>> Marcus Vinicius. >>> - >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> >> >> -- >> Rafael Henrique da Silva Faria >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > Att, > Marcus Vinicius. Desculpa pelo top-posting, galera! -- Att, Marcus Vinicius. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
Eu tenho utilizado o SSLBump a algum tempo, e funcionado perfeitamente. Eu não sei se você conseguiria ter um certificado simples de SSL para usar com ele. Pois na verdade você precisa ser um CA. Então o seu certificado precisaria ser de um nível bem elevado, que permita você assinar outros certificados. Pois é isso que o SSLBump faz, ele cria um certificado para cada domínio. O que eu fiz, foi criar um CA não confiável, configurei o squid para assinar os certificados gerados dinamicamente com este CA, e instalo este CA em todos os micros que irão utilizar o proxy. Assim ele não fica avisando o problema do certificado para cada site. Mas pela lógica também seria possível você utilizar um certificado confiável, porém como disse anteriormente, você precisa ter um nível do certificado que permita que você assine outros. E com certeza isso não sairá nenhum pouco barato. Além do sério risco de segurança caso esse seu certificado caia em mãos erradas. Esses tipos de certificados são protegidos de uma maneira muito rigorosa. 2013/10/30 Marcus Vinicius. : > Bom dia, senhores! > > O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o > certificado que é gerado na máquina não possui assinatura, logo sempre > ocorre o erro no navegador quanto à validade desse certificado. Isso é > um pouco constrangedor. > > Agora a minha pergunta é: é possível usar um certificado SSL (ex: da > empresa Comodo) no squid3 também para que não haja mais essa mensagem > de possível fraude? > > Desde já, agradeço! > > Abraços. > > -- > Att, > Marcus Vinicius. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Rafael Henrique da Silva Faria - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
Em 30 de outubro de 2013 09:30, Marcus Vinicius. escreveu: > Isso mesmo, Neerlan. > > Em 30 de outubro de 2013 10:24, Neerlan Amorim > escreveu: > > http://wiki.squid-cache.org/Features/SslBump > > > > Squid-in-the-middle decryption and encryption of straight CONNECT and > > transparently redirected SSL traffic, using configurable CA > > certificates. While decrypted, the traffic can be analyzed, blocked, > > or adapted using regular Squid features such as ICAP and eCAP. > > > > É o que eu estou pensando? > > Possibilidade de fazer cache desse conteúdo? > No meu caso nem me preocupo tanto com o cache, e sim com a possibilidade de bloquear tráfego https usando proxy transparente. Welkson - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
Isso mesmo, Neerlan. Em 30 de outubro de 2013 10:24, Neerlan Amorim escreveu: > http://wiki.squid-cache.org/Features/SslBump > > Squid-in-the-middle decryption and encryption of straight CONNECT and > transparently redirected SSL traffic, using configurable CA > certificates. While decrypted, the traffic can be analyzed, blocked, > or adapted using regular Squid features such as ICAP and eCAP. > > É o que eu estou pensando? > Possibilidade de fazer cache desse conteúdo? > > Em 30 de outubro de 2013 07:29, Marcus Vinicius. > escreveu: >> Bom dia, senhores! >> >> O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o >> certificado que é gerado na máquina não possui assinatura, logo sempre >> ocorre o erro no navegador quanto à validade desse certificado. Isso é >> um pouco constrangedor. >> >> Agora a minha pergunta é: é possível usar um certificado SSL (ex: da >> empresa Comodo) no squid3 também para que não haja mais essa mensagem >> de possível fraude? >> >> Desde já, agradeço! >> >> Abraços. >> >> -- >> Att, >> Marcus Vinicius. >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > Neerlan Amorim > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Att, Marcus Vinicius. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Certificado SSL no SQUID
http://wiki.squid-cache.org/Features/SslBump Squid-in-the-middle decryption and encryption of straight CONNECT and transparently redirected SSL traffic, using configurable CA certificates. While decrypted, the traffic can be analyzed, blocked, or adapted using regular Squid features such as ICAP and eCAP. É o que eu estou pensando? Possibilidade de fazer cache desse conteúdo? Em 30 de outubro de 2013 07:29, Marcus Vinicius. escreveu: > Bom dia, senhores! > > O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o > certificado que é gerado na máquina não possui assinatura, logo sempre > ocorre o erro no navegador quanto à validade desse certificado. Isso é > um pouco constrangedor. > > Agora a minha pergunta é: é possível usar um certificado SSL (ex: da > empresa Comodo) no squid3 também para que não haja mais essa mensagem > de possível fraude? > > Desde já, agradeço! > > Abraços. > > -- > Att, > Marcus Vinicius. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Neerlan Amorim - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Certificado SSL no SQUID
Bom dia, senhores! O SQUID3 tem suporte ao SSLBump, como alguns já sabem. Mas, o certificado que é gerado na máquina não possui assinatura, logo sempre ocorre o erro no navegador quanto à validade desse certificado. Isso é um pouco constrangedor. Agora a minha pergunta é: é possível usar um certificado SSL (ex: da empresa Comodo) no squid3 também para que não haja mais essa mensagem de possível fraude? Desde já, agradeço! Abraços. -- Att, Marcus Vinicius. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
