pfSense Gold Subscription

Author Topic: Problema con HTTPs a través de squid (autenticando por LDAP)  (Read 71 times)

0 Members and 1 Guest are viewing this topic.

Offline jainalo

  • Newbie
  • *
  • Posts: 1
  • Karma: +0/-0
    • View Profile
Problema con HTTPs a través de squid (autenticando por LDAP)
« on: October 05, 2017, 06:29:43 am »
Buenas, saludos a todos. Soy nuevo en el foro  :)

Tengo el pfsense configurado como proxy no transparente, también tenía squidguard para filtrar pero de momento lo he desactivado para ir descartando donde está el problema.
Digamos que tengo configurado Squid y a un determinado rango de IPs le permite navegar sin autenticar. En este caso no se reproduce el problema.

Sin embargo, si navego por otro rango de IPs, donde Pfsense me obliga a autenticar (en mi caso por LDAP), se da el caso que las webs que utilizan SSL / TLS como por ejemplo los bancos, Pfsense me marca en los logs como TCP_DENIED las URLs donde se llevan a cabo la validación de los certificados SSL.

Esto sería un ejemplo:
Code: [Select]
TCP_DENIED/407 http://ocsp.godaddy.com//MEgwRjBEMEIwQDAJBgUrDgMCGgUABBS2CA1fbGt26xPkOKX4ZguoUjM0TgQUQMK9J47MNIMwojPX%2B2yz8LQsgM4CBwQLTfEGABM%3D - -
TCP_DENIED/407 http://crl.godaddy.com/gdroot-g2.crl - -
TCP_DENIED/407 http://ocsp.godaddy.com//MEIwQDA%2BMDwwOjAJBgUrDgMCGgUABBQdI2%2BOBkuXH93foRUj4a7lAr4rGwQUOpqFBxBnKLbv9r0FQW4gwZTaD94CAQc%3D - -
TCP_DENIED/407 http://crl.godaddy.com/gdroot.crl - -
TCP_DENIED/407 http://ocsp.godaddy.com//MEQwQjBAMD4wPDAJBgUrDgMCGgUABBTkIInKBAzXkF0Qh0pel3lfHJ9GPAQU0sSw0pHUTBFxs2HLPaH%2B3ahq1OMCAxvnFQ%3D%3D
TCP_DENIED/407 http://crl4.digicert.com/DigiCertBaltimoreCA-2G2.crl - -
TCP_DENIED/407 http://crl3.digicert.com/DigiCertBaltimoreCA-2G2.crl - -
TCP_DENIED/407 http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTuqL92L3tjkN67RNFF%2FEdvT6NEzAQUwBKyKHRoRmfpcCV0GgBFWwZ9XEQCEAtZKGtXipg0DWe9lnl2T%2Bc%3D - -
TCP_DENIED/407 http://crl3.digicert.com/Omniroot2025.crl - -
TCP_DENIED/407 http://ocsp.digicert.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTBL0V27RVZ7LBduom%2FnYB45SPUEwQU5Z1ZMIJHWMys%2BghUNoZ7OrUETfACEAGC%2BAmOouYmuRo7J4Qfua8%3D - -

Debido a este problema, en el navegador suele mostrar un mensaje de advertencia que da por saco (no sale siempre, pero casi siempre):

En el caso de internet explorer el mensaje es este:
Code: [Select]
La información de revocación del certificado de seguridad de este sitio no está disponible ¿ Desea continuar ?

Como se puede apreciar arriba, en dichas páginas no me pone el usuario con el que me he validado por LDAP, simplemente me deniega a todo ese tipo de páginas donde se validan los certificados SSL de las páginas web con HTTPS

No tengo nada en el Blacklist. En el firewall tengo bloqueado el tráfico HTTP/HTTPS, es decir sólo se puede navegar a través del proxy squid.

Sé que en el navegador se puede deshabilitar que haga dicha comprobación de revocación de certificados pero me gustaría no hacer eso, ya que el problema viene cuando accedo a internet con Squid validando con LDAP.

¿ Alguien sabe como solucionar este problema ?
Si voy añadiendo esas webs en Whitelist el squid no las deniega validando por LDAP, pero me parece una solución chapucera.

Gracias,
Un saludo.