"
Ich betreibe auf meiner OPNsense-Firewall den integrierten Squid-Proxy im Forward-Proxy-Modus. Für HTTP funktioniert die Konfiguration problemlos. Ziel ist es, eine Whitelist umzusetzen – also nur bestimmte Webseiten zu erlauben und alle anderen zu blockieren. Dabei soll kein SSL-Bumping verwendet werden, sondern bei HTTPS ausschließlich über den SNI (Server Name Indication) gefiltert werden.
Mit aktiviertem SSL-Bump funktioniert das Whitelisting sehr zuverlässig. Wenn ich in der Whitelist mit regulären Ausdrücken wie https?:\/\/ arbeite, lassen sich die gewünschten Seiten problemlos freigeben und alle anderen blockieren.
Sobald ich jedoch das Proxy-Zertifikat entferne und SSL-Bumping deaktiviere, möchte ich nur noch über SNI filtern. In diesem Fall funktioniert zwar das Blacklisting: Trage ich zum Beispiel www.google.com in die Blacklist ein, wird der Zugriff korrekt blockiert. Mein Ziel ist es nun, mit einem Blacklist-Eintrag wie .* zunächst alles zu blockieren und anschließend mit einer Whitelist (zum Beispiel www.google.com) gezielt bestimmte Domains wieder zu erlauben.
Sobald ich das versuche, bekomme ich jedoch auf allen Webseiten eine Zertifikatswarnung (net::ERR_CERT_AUTHORITY_INVALID), obwohl SSL-Bumping in der OPNsense-Oberfläche definitiv deaktiviert ist. Es wirkt so, als würde trotzdem eine Art SSL-Interception stattfinden, was zu den Warnungen führt.
Meine Frage ist nun: Was mache ich falsch? Muss der Eintrag in der Blacklist anders lauten als .*? Wird möglicherweise doch noch ein SSL-Bump durchgeführt, obwohl er deaktiviert ist? Oder ist Whitelisting ohne SSL-Bump mit Squid grundsätzlich nicht möglich?
Ich freue mich über jeden Hinweis oder über ein funktionierendes Beispiel, wie man ausschließlich mit SNI eine Domain-Whitelist umsetzen kann, ohne SSL-Bumping zu verwenden. Vielen Dank.
Mit aktiviertem SSL-Bump funktioniert das Whitelisting sehr zuverlässig. Wenn ich in der Whitelist mit regulären Ausdrücken wie https?:\/\/ arbeite, lassen sich die gewünschten Seiten problemlos freigeben und alle anderen blockieren.
Sobald ich jedoch das Proxy-Zertifikat entferne und SSL-Bumping deaktiviere, möchte ich nur noch über SNI filtern. In diesem Fall funktioniert zwar das Blacklisting: Trage ich zum Beispiel www.google.com in die Blacklist ein, wird der Zugriff korrekt blockiert. Mein Ziel ist es nun, mit einem Blacklist-Eintrag wie .* zunächst alles zu blockieren und anschließend mit einer Whitelist (zum Beispiel www.google.com) gezielt bestimmte Domains wieder zu erlauben.
Sobald ich das versuche, bekomme ich jedoch auf allen Webseiten eine Zertifikatswarnung (net::ERR_CERT_AUTHORITY_INVALID), obwohl SSL-Bumping in der OPNsense-Oberfläche definitiv deaktiviert ist. Es wirkt so, als würde trotzdem eine Art SSL-Interception stattfinden, was zu den Warnungen führt.
Meine Frage ist nun: Was mache ich falsch? Muss der Eintrag in der Blacklist anders lauten als .*? Wird möglicherweise doch noch ein SSL-Bump durchgeführt, obwohl er deaktiviert ist? Oder ist Whitelisting ohne SSL-Bump mit Squid grundsätzlich nicht möglich?
Ich freue mich über jeden Hinweis oder über ein funktionierendes Beispiel, wie man ausschließlich mit SNI eine Domain-Whitelist umsetzen kann, ohne SSL-Bumping zu verwenden. Vielen Dank.
