服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 让我们encryption证书vs鱿鱼透明代理
Intereting Posts
MPIO同样适用于Windows Server的多path工具 logging所有ssh隧道数据 高度随机的PostgreSQL数据库主机 Debian,2个网卡负载平衡或与同一个网关进行聚合 SSL网站在IE中返回错误的网关错误,在其他浏览器中正常工作 Solaris 10:安装ghostscript 脚本(pipe道)命令到telnet会话 使用IP和标头请求不同的网站 IBM x3200 M3 – 兼容RAM 恒定的磁盘活动 – 我怎么知道哪些文件正在被访问不间断? ServerIron:如何configuration真正的服务器同时在3个VIP中? Citrix XenApp并发许可证是年度成本还是一次性购买 SQL Server 2008存储configuration问题 Apache:将SSL服务器/客户机证书分配给目录 Postfix milter-reject:来自4.7.1服务不可用的END-OF-MESSAGE – 稍后再试

让我们encryption证书vs鱿鱼透明代理

我有一个在pfsense防火墙上设置透明Squid代理的问题。 我为HTTPS MITM创build了一个CA,将其安装在浏览器中,并且可以与大多数网站一起使用。

但是像ubuntuusers.de这样的网站使用我们的encryption证书似乎会导致问题。 奇怪的是这似乎是正确的:它的CN是域,他们的CA是正确的让我们encryption权限X3。

然而,只要Squid代理拦截证书,MITM将其自己的证书的CN证书成为ubuntuusers.de以及浏览器的IP地址, ChromeFirefox都会拒绝它,因为cn和domain don't fit (net::ERR_CERT_COMMON_NAME_INVALID)

这只发生在这个网站,所以它必须做这个证书的东西。 我没有足够的证书来理解为什么会发生这种情况。 

 ... Common Name (CN) 213.95.41.4 Organization (O) <Not Part Of Certificate> Organizational Unit (OU) <Not Part Of Certificate> Serial Number 7C... Issued By Common Name (CN) myown-ca ...

也许有人可以向我解释这种行为?

它看起来像你可能会使用server-first SSL暴增,根据文档不能处理服务器上的SNI,并将使用服务器的IP作为证书(因为服务器将不再有一个主机名)。 从Squid 3.5开始,有一个叫做peekstare新机制,它允许squid观察SNI协商来确定所要求的主机名,每个主机名受到不同的限制。