방금 설정했어요도어맨안에라즈베리 파이3이며 프록시 체인의 일부로 Squid 3을 포함합니다.
또한 SSL 충돌을 활용하며 SSL을 사용하는 일부 사이트(보통 Facebook 및 Youtube와 같은 대규모 사이트)에서는 이 인증서의 사용을 허용하지 않습니다. 페이지 자체가 로드될 때 일반적으로 정적 CDN 서버에 있는 이미지나 스타일시트는 로드되지 않습니다.
예를 들어, Facebook을 로드할 때 브라우저에 다음 오류가 표시됩니다.
리소스를 로드할 수 없습니다. 서버의 인증서가 유효하지 않습니다. "static.xx.fbcdn.net"을 사칭하는 서버에 연결 중일 수 있으며, 이로 인해 기밀 정보가 위험해질 수 있습니다.
오징어 로그에서 다음을 얻습니다.
XXXXXXXX.XXX 166 127.0.0.1 NONE/200 0 CONNECT scontent-yyz1-1.xx.fbcdn.net:443 - HIER_DIRECT/31.13.80.12 -
이것이 기본적으로 SSL 충돌인 중간자 공격이라고 불평하는 것이라는 것을 알지만... 저는 트래픽을 필터링하여 특정 사이트가 열려 있고 특정 사이트가 열려 있도록 만들고 싶습니다. 특정 시간에는 닫히지만 tls/ssl 사이트를 필터링하려면 이 작업을 수행해야 합니다. 즉, 사람들이 내 네트워크에서 Facebook을 사용하도록 허용하고 싶지만 근무 시간 중에는 허용하지 않는 경우도 있습니다.
또한 서버에서 다운로드하여 테스트용 노트북에 설치한 인증서가 아마도 사용하기에 가장 좋은 인증서가 아닐 것이라는 것도 알았고, CA에서 인증하지 않았기 때문에 그것이 문제의 원인일 수도 있다는 생각까지 했습니다.
사용하기로 결정한 인증서가 CA의 인증을 받은 경우 이것이 유효한가요? 불평을 방지하려면 브라우저에 어떤 인증서를 설치해야 합니까? 최종적으로 투명 프록시에 사용하려는 경우에도 프로세스는 동일합니까?
답변1
GateSentry는 귀하가 방문하고 있는 호스트에 대한 인증서를 즉시 생성하므로 귀하의 브라우저는 원래 사이트를 방문하고 있다고 인식합니다.
인증서는 브라우저가 신뢰하는 인증 기관에서 서명해야 합니다. 그렇지 않으면 현재 보고 있는 것과 같은 오류 메시지를 받게 됩니다. GateSentry에는 설치할 수 있는 기본 CA 인증서가 함께 제공됩니다.
브라우저가 이 CA 인증서를 신뢰하려면 이를 브라우저의 트러스트 앵커 목록에 추가해야 합니다.
이를 수행하는 방법은 브라우저와 운영 체제에 따라 다르며 네트워크를 사용하는 모든 컴퓨터에서 이 작업을 수행해야 합니다.
GateSentry에서 사용하는 기본 CA 인증서는 ai.com에서 생성한 자체 서명 인증서라고 생각합니다. 트러스트 앵커 목록에 인증서를 추가하면 기본적으로 해당 조직을 신뢰한다는 의미입니다. ai.com에 대해 들어본 적이 있나요? 신뢰는커녕요? 물론, 그것은 귀하의 결정이지만, 저는 이 인증서를 귀하 자신의 자체 서명된 인증서로 교체하는 것을 진지하게 고려할 것입니다. 결국, 귀하는 특히 이전에 들어본 적이 없는 사람보다 자신을 더 신뢰한다고 확신합니다.
더 나쁜 것은 노트북, 태블릿 또는 스마트폰에서 ai.com 인증서를 신뢰하기로 결정한 경우 나중에 GateSentry를 사용하는 WiFi 서비스를 사용할 수 있으며 동일한 ai.com 인증서를 사용하는 경우 그들은 당신의 모든 개인 정보를 공유합니다!
필요한 인증서는 최종 엔터티 인증서(예: TLS 인증서)가 아닌 CA 인증서여야 하므로 상업용 CA에서 서명한 인증서를 사용할 수 없습니다. CA 인증서는 GateSentry가 에뮬레이션한 TLS 인증서와 같은 하위 인증서에 서명할 수 있습니다. 상업용 CA에서 구입할 수 있는 SSL/TLS 인증서는 하위 인증서에 서명할 수 없으므로 이 상황에서는 쓸모가 없습니다. CA는 일반적으로 CA 인증서를 발급하지 않으며 개인에게 CA 인증서를 발급하지도 않습니다.