當啟用squid 的transparent proxy中的SSL-PROXY後, 因為自己簽發的憑證,不在信任範圍內,所以瀏覽器會判定為不正常的連線,
會認為憑證有問題,也就是遭受了中間人攻擊, 憑證不一致, 這個問題的解法也很單純, 如果使用PFSENSE+SQUID+SQUIDGUARD,
在系統設定時,其實它就告知了解法..
這段英文的意思是, 重要: 必須在每台電腦安裝這個CA憑證成為受信任的根憑證,如果你想要在過濾SSL時避免在每一個連線時發生SSL錯誤.
所以,以我這個案例來看, 就也必須在手机上安裝CA憑證.
如果沒有安裝的話,就會每回連到SSL的網站,它都出現以下這個錯誤,如截圖
如果安裝好了之後呢, 它也就正常了…
這是在我小米手機安裝好之後的情況
所以你再上網就不會遇上問題了,而且當你打開憑證詳細資訊時檢查,也會發現根憑證反而是這個我安裝的了..
所以即便包括SSL的上網,也可以經由網管系統加以看管..
以下的影片示範:
一開始使用的是未經SSL-PROXY過濾的,SSID KEVINHOME1F_5G這個,你注意看當時的憑證,
如以下截圖,未經SSL-PROXY中間人過濾會顯示其正常的CA機構
就不會出現我自己安裝的CA憑證,放在SSL-PROXY上的,
當我把SSID更換到KEVINHOME時, 這裡刻意強迫使用了閘道192.168.68.251 , 就是我PFSENSE上的其中一條腿, 強迫它經由SSL-PROXY過濾後,
因為已經將自己簽發的CA憑證放入手机受信任的根目錄憑證,所以就不再發生錯誤
如以下截圖
PS: 各手机放置的路徑各有不同,這個我就不再此說明,請自行GOOGLE,我有小米及OPPO都可正常匯入憑證並可使用.
以下看一下我PFSENSE上啟用了TRANSPARENT PROXY及SSL過濾等設定畫面
SSL中間人過濾選項如下:
我PFSENSE 防火牆各網段的GATEWAY IP,可以看到68.251的存在