URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96642
[ Назад ]

Исходное сообщение
"ошибка SEC_ERROR_UNKNOWN_ISSUER Firefox Squid"
Отправлено ks1024 , 24-Авг-16 09:37

Всем доброго времени суток! Задача: собрать прокси для блокировки порно, социалок и тд. Делалось все по данной статье: https://habrahabr.ru/post/168515/. Все собрал, прокси все блокирует, но есть некоторые https сайты, а именно: google.com, yahoo.com и т.д, с которыми конфликтует браузер Firefox, выводя ошибку:

SEC_ERROR_UNKNOWN_ISSUER

Причем в основном, внизу предлагалось добавить сайт в исключения, а на этих ресурсах данная опция не активна. Пытался сгенерировать сертификат и добавить в доверитильные, как было сказано в официальной документации: http://wiki.squid-cache.org/Features/DynamicSslCert
Данный сертификат использует squid:

openssl req -new -newkey rsa:2048 -sha256 -days 365 -nodes -x509 -extensions v3_ca -keyout myCA.pem -out myCA.pem

это сертификат генерируется на основы вышеописанного и импортирую в Firefox, во вкладку «Центры сертификации»:

openssl x509 -in myCA.pem -outform DER -out myCA.der

Но после импортирования в firefox, при загрузке страницы гуглф, вылетает ошибка:

SEC_ERROR_BAD_SIGNATURE

Также пытался добавить гугл в список исключений: Серверы -> Добавить исключения, но тоже не срабатывает. Если кто сталкивался или знает в чем проблема и что сделано не так, подскажите пожалуйста. Заранее спасибо!
P.S. На всякий случай привожу конфиг squid.conf
#
# Recommended minimum configuration:
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machinesacl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
#acl step1 at_step SslBump1
acl yt_clips url_regex .youtube\.com\/watch\?v=lr_m3GW5Cws
#acl block-sites dstdomain "/opt/squid/etc/block-sites.acl"
#acl bad url_regex -i "/opt/squid/etc/block-sites2.acl"
#deny_info http://krsu.edu.kg localnet
#
# Recommended minimum Access Permission configuration:
#
http_access deny yt_clips
#http_reply_access deny block-sites localnet
#http_reply_access deny bad localnet
# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
cache_effective_user squid
cache_effective_group squid
redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
url_rewrite_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
redirect_children 20
# Squid normally listens to port 3128
#http_port 3128
http_port 3128 ssl-bump cert=/opt/squid/etc/ssl_cert/squidCA.pem  generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
ssl_bump all localhost
ssl_bump server-first all
sslcrtd_program /opt/squid/libexec/ssl_crtd -s /opt/squid/var/lib/ssl_db -M 4MB
sslcrtd_children 5
always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
ssl_bump allow all
ssl_bump bump all
# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /opt/squid/var/cache/squid 100 16 256
# Leave coredumps in the first cache dir
coredump_dir /opt/squid/var/cache/squid
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

Содержание

ошибка SEC_ERROR_UNKNOWN_ISSUER Firefox Squid,crash, 06:16 , 25-Авг-16

Сообщения в этом обсуждении

"ошибка SEC_ERROR_UNKNOWN_ISSUER Firefox Squid"
Отправлено crash , 25-Авг-16 06:16

подозреваю, что дело не в проксе. Было такое же без прокси, ушло как-то само.