Bonjour à tous,
j'ai recement installé un squid sur mon routeur pfsense avec un squidguard en mode transparent. jusque là tout va bien.
mais j'ai recement activé pour tester l'interception https car sinon squidguard est totalement useless (de plus en plus de site sont en https maintenant). cela à l'air de fonctionner relativement correctement mais sur certains sites et majoritairement avec firefox j'ai des erreurs SSL :
*An error occurred during a connection to www.google.fr http://www.google.fr/.SSL received a record that exceeded the maximum permissible length.Error code: SSL_ERROR_RX_RECORD_TOO_LONG*
je n'arrive pas à comprendre cette erreur et qu'est ce qui peut la causer. En cherchant sur internet, je ne semble pas le seul a avoir ce problème mais je ne trouve pas vraiment de solution.
Avez vous déjà eu ce soucis et avez vous trouvé une solution ?
merci d'avance de votre aide!
ma config pfsense: http://jocelynlagarenne.fr/img/image1.png http://jocelynlagarenne.fr/img/image2.png http://jocelynlagarenne.fr/img/image3.png
si vous avez deja eu ce probleme savez vous s'il est lié à la version squid de pfsense ou pas ? si je monte une VM dédiée squid aurais je le meme probleme ?
Bonjour,
/An error occurred during a connection to www.google.fr http://www.google.fr/. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG/
Cette erreur peut arriver lorsque tu tentes une connexion HTTPS sur un site HTTP.
Ton client utilise https://www.google.fr ou http://www.google.fr et se laisse rediriger en https ?
Que donne depuis le client :
openssl s_client -connect www.google.com:443 --msg
Et si tu peux avoir les traces correspondantes sur le proxy, c'est bien.
Cela donne ce genre de chose (le wrong version number de s_client semble correspondre au SSL_ERROR_RX_RECORD_TOO_LONG de firefox) ?
$ openssl s_client -connect www.google.fr:80 CONNECTED(00000003) 140540500960512:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:252: --- no peer certificate available ---
Est-ce que cela le fait que pour les sites utilisant Strict-Transport-Security (HSTS) ?
ma config pfsense: http://jocelynlagarenne.fr/img/image1.png http://jocelynlagarenne.fr/img/image2.png http://jocelynlagarenne.fr/img/image3.png
A côté mais :
* Désactiver la vérification des certificats distants est bad, bad, too bad ! :) C'est un des gros problèmes de l'interception TLS, le client ne peut pas savoir si il parle au bon site, ni avec quel niveau de sécurité entre le proxy et le site distant.
* Fournir tes IP internes (Bypass Proxy for These Source IPs), ce n'est pas nécessaire pas super sécure.
Fabrice.
J'ai eu le même problème. En fait tu as beau faire des gpo avec le certificat qui vas bien sur les clients firefox a son propre magasin de cert. Alors que chrome et ie vont bien chercher dans les magasins windows firefox ne le fait pas. Comme les gpos avec firefox c'est la zermi moi je l'ai éradiqué de mon parc. J'espère que cette réponse t'éclaireras un peu plus. ________________________________ De : FRsAG frsag-bounces@frsag.org de la part de Jocelyn Lagarenne jocelyn.lagarenne+frsag@gmail.com Envoyé : samedi 9 juin 2018 14:56:33 À : French SysAdmin Group Objet : [FRsAG] pfsense squid transparent + ssl = SSL_ERROR_RX_RECORD_TOO_LONG
Bonjour à tous,
j'ai recement installé un squid sur mon routeur pfsense avec un squidguard en mode transparent. jusque là tout va bien.
mais j'ai recement activé pour tester l'interception https car sinon squidguard est totalement useless (de plus en plus de site sont en https maintenant). cela à l'air de fonctionner relativement correctement mais sur certains sites et majoritairement avec firefox j'ai des erreurs SSL : An error occurred during a connection to www.google.frhttp://www.google.fr/. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG
je n'arrive pas à comprendre cette erreur et qu'est ce qui peut la causer. En cherchant sur internet, je ne semble pas le seul a avoir ce problème mais je ne trouve pas vraiment de solution.
Avez vous déjà eu ce soucis et avez vous trouvé une solution ?
merci d'avance de votre aide!
ma config pfsense: http://jocelynlagarenne.fr/img/image1.png http://jocelynlagarenne.fr/img/image2.png http://jocelynlagarenne.fr/img/image3.png
si vous avez deja eu ce probleme savez vous s'il est lié à la version squid de pfsense ou pas ? si je monte une VM dédiée squid aurais je le meme probleme ?
On 09/06/2018 17:34, Guillaume LAPOUGE wrote:
J'ai eu le même problème. En fait tu as beau faire des gpo avec le certificat qui vas bien sur les clients firefox a son propre magasin de cert. Alors que chrome et ie vont bien chercher dans les magasins windows firefox ne le fait pas. Comme les gpos avec firefox c'est la zermi moi je l'ai éradiqué de mon parc.
Mozilla à publié les templates ADMX (pour les GPO). Vive Firefox :)
https://support.mozilla.org/en-US/kb/customizing-firefox-using-group-policy
Fabrice.
Bonjour,
D'après ma très modeste expérience, ce type d'erreur se produit quand un client essaie de causer en HTTPS à un service HTTP : forcément, la réponse HTTP qui arrive est souvent de taille supérieure aux premiers paquets de négo SSL attendus par le client, ce qui cause ton erreur.
Testes une connexion vers ton site perso en https depuis derrière le proxy et regarde les logs de ton site pour voir si la connexion arrive en HTTP ou HTTPS ?
Cordialement,
Bastien Faure +33 6 32 11 70 87
Le 09/06/2018 à 14:56, Jocelyn Lagarenne a écrit :
Bonjour à tous,
j'ai recement installé un squid sur mon routeur pfsense avec un squidguard en mode transparent. jusque là tout va bien.
mais j'ai recement activé pour tester l'interception https car sinon squidguard est totalement useless (de plus en plus de site sont en https maintenant). cela à l'air de fonctionner relativement correctement mais sur certains sites et majoritairement avec firefox j'ai des erreurs SSL : /An error occurred during a connection to www.google.fr http://www.google.fr/. SSL received a record that exceeded the maximum permissible length. Error code: SSL_ERROR_RX_RECORD_TOO_LONG/
je n'arrive pas à comprendre cette erreur et qu'est ce qui peut la causer. En cherchant sur internet, je ne semble pas le seul a avoir ce problème mais je ne trouve pas vraiment de solution.
Avez vous déjà eu ce soucis et avez vous trouvé une solution ?
merci d'avance de votre aide!
ma config pfsense: http://jocelynlagarenne.fr/img/image1.png http://jocelynlagarenne.fr/img/image2.png http://jocelynlagarenne.fr/img/image3.png
si vous avez deja eu ce probleme savez vous s'il est lié à la version squid de pfsense ou pas ? si je monte une VM dédiée squid aurais je le meme probleme ?
Liste de diffusion du FRsAG http://www.frsag.org/
-
Bastien Faure -
Fabrice RAFART -
Guillaume LAPOUGE -
Jocelyn Lagarenne