設定しました。ドアマン中ラズベリーパイ3であり、プロキシチェーンの一部としてSquid 3が含まれています。
また、SSL競合を利用し、SSLを使用する一部のサイト(通常、FacebookやYoutubeなどの大規模サイト)では、この証明書の使用を許可していません。ページ自体がロードされると、通常静的CDNサーバー上のイメージやスタイルシートはロードされません。
たとえば、Facebookを読み込むと、ブラウザに次のエラーが表示されます。
リソースをロードできません。サーバーの証明書が無効です。 「static.xx.fbcdn.net」を詐称するサーバーに接続している可能性があり、機密情報が危険になる可能性があります。
イカログから以下を取得します。
XXXXXXXX.XXX 166 127.0.0.1 NONE/200 0 CONNECT scontent-yyz1-1.xx.fbcdn.net:443 - HIER_DIRECT/31.13.80.12 -
これは基本的にSSLクラッシュである中間者攻撃であると文句を言うことですが、私はトラフィックをフィルタリングして特定のサイトが開いていて特定のサイトが開いているようにしたいと思います。特定の時間には閉じますが、tls / sslサイトをフィルタリングするにはこれを行う必要があります。つまり、人々が自分のネットワークでFacebookを使用できるようにしたいのですが、勤務時間中は許可しないことがあります。
また、サーバーからダウンロードしてテスト用ノートブックにインストールした証明書が、おそらく使用するのに最適な証明書ではないということも知り、CAで認証しなかったため、それが問題の原因かもしれないと考えました。
使用することを決定した証明書がCAの認証を受けた場合、これは有効ですか?苦情を防ぐために、ブラウザにどの証明書をインストールする必要がありますか?最終的に透明プロキシに使用したい場合でも、プロセスは同じですか?
ベストアンサー1
GateSentryはあなたが訪問しているホストの証明書をただちに生成するため、ブラウザは元のサイトにアクセスしていると認識します。
証明書は、ブラウザが信頼する認証局から署名する必要があります。それ以外の場合は、現在見ているのと同じエラーメッセージが表示されます。 GateSentryには、インストールできるデフォルトのCA証明書が付属しています。
ブラウザがこのCA証明書を信頼するには、それをブラウザの信頼アンカーリストに追加する必要があります。
これを行う方法はブラウザとオペレーティングシステムによって異なり、ネットワークを使用するすべてのコンピュータでこれを行う必要があります。
GateSentryが使用するデフォルトのCA証明書は、ai.comによって生成された自己署名証明書であると思います。信頼アンカーリストに証明書を追加することは、基本的にその組織を信頼することを意味します。 ai.comについて聞いたことがありますか?信頼はどこですか?もちろん、それはあなたの決定ですが、私はこの証明書を自分の自己署名証明書に置き換えることを真剣に考えます。結局のところ、あなたは特に以前に聞いたことがない人よりも自分を信頼していると確信しています。
さらに悪いことに、ラップトップ、タブレット、またはスマートフォンでai.com証明書を信頼することにした場合は、後でGateSentryを使用するWiFiサービスを使用できます。
必要な証明書は最終エンティティ証明書(TLS証明書など)ではなくCA証明書である必要があるため、商用CAで署名された証明書を使用することはできません。 CA証明書は、GateSentryによってエミュレートされたTLS証明書などの子証明書に署名できます。商用 CA から購入できる SSL/TLS 証明書は子証明書に署名できないため、この状況では役に立ちません。 CAは通常CA証明書を発行せず、個人にCA証明書を発行しません。