Salve a tutti,
è il mio primo post qui sul forum italiano.
Ho problemi a configurare squid con gli update di windows 10 .
utilizzo squid con l'ispezione SSL attivata e CLAM, AV
in pratica c'è un errore da qualche parte nella catena dei certificati.
se provo a contattare l'url incriminato (lod di Windoews update ) dal browser ottengo questo
https://fe3cr.delivery.mp.microsoft.com/
QuoteThe following error was encountered while trying to retrieve the URL: https://fe3cr.delivery.mp.microsoft.com/*
Failed to establish a secure connection to 191.232.139.2
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft ECC Product Root Certificate Authority 2018
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.
Your cache administrator is admin@localhost.local.
ho visto che sul forum tedesco piu o meno c'è una soluzione,ma vorrei capire bene quelli che devo fare
sinceramente non mi va di incasinare il file di configurazione di squid senza motivo
Qualcuno puo darmi una mano ?
Cordiali Saluti
A.V.
Opnsense 20.1
x86
La soluzione sta sul forum tedesco di Opnsense e sul forum inglese.
si deve copiare nel file di configurazione di squid in testa alle acl questa acl
Quoteacl DiscoverSNIHost at_step SslBump1
acl NoSSLIntercept ssl::server_name_regex microsoft.com
acl NoSSLIntercept ssl::server_name_regex .microsoft.com
acl NoSSLIntercept ssl::server_name_regex windowsupdate.com
acl NoSSLIntercept ssl::server_name_regex .windowsupdate.com
acl NoSSLIntercept ssl::server_name_regex update.microsoft.com.akadns.net
ssl_bump splice NoSSLIntercept
ssl_bump peek DiscoverSNIHost
ssl_bump bump all
acl BrokenButTrustedServers dstdomain download.microsoft.com
acl BrokenButTrustedServers dstdomain update.microsoft.com
acl BrokenButTrustedServers dstdomain update.microsoft.com.akadns.net
acl BrokenButTrustedServers dstdomain update.microsoft.com.nsatc.net
acl DomainMismatch ssl_error SQUID_X509_V_ERR_DOMAIN_MISMATCH
sslproxy_cert_error allow BrokenButTrustedServers DomainMismatch
sslproxy_cert_error deny all
il modo piu corretto di farlo a quanto ho capito (ma se il mitico Franco intervenisse per confermarlo gli sarei grato) sarebbe quello di creare un file apposito per i domini di windows e poi creare
nel file principale l'acl che fa riferimento al file in questa maniera .
Quote
acl BrokenButTrustedServers dstdomain "/usr/local/squid/etc/dstdom.broken"
acl DomainMismatch ssl_error SQUID_X509_V_ERR_DOMAIN_MISMATCH
sslproxy_cert_error allow BrokenButTrustedServers DomainMismatch
sslproxy_cert_error deny all
ora il problema è un'altro che ogni qual volta si modifica la configurazione da GUI il file di squid viene ricreato e quindi si perdono le acl immesse.
qualcuno ha idea di come risolvere la cosa ?
ma se invece di immettere queste acl direttamente nel file di squid di potesse fare via gui
magari in un campo apposito chiamato acl windows update sarebbe meglio .