我有一台运行 Squid 缓存的路由器。问题是,现在一切都是 https,所以我启用了 MITM SSL 过滤来缓存 https。
我相当确定这样做会在路由器而不是我的 PC 上终止 SSL。我在路由器上有一个自签名证书。我已将该证书添加到我的 PC 上的证书存储中,但它有时不起作用。
即将https://www.facebook.com完全可以加载。但是,说https://www.sslshopper.com/ssl-checker.html,甚至超级用户登录页面也给我NET::ERR_CERT_AUTHORITY_INVALID
另外,还有一个附加问题。这是否意味着我使用 PC 的 SSL 证书连接到路由器,然后从那里使用路由器的自签名证书,还是从我的 PC 到路由器的数据完全未加密?
答案1
您最有可能遇到的问题是“公钥固定” - 基本上您的浏览器直接记录了一些域名 - 并且您对 SSL 的 MITM 攻击(代理它)失败了,因为您通过 SSL 拦截 Squid 接收的证书的签名者与证书认为应该的签名者不同。
此链接将解释发生了什么(确实是来自颁发 Facebook 证书的 CA)
为了解决这个问题,您需要在浏览器中禁用固定功能 - 如何操作取决于您的浏览器。
我的加分项:>
您的计算机正在使用自签名连接到您的 squid 代理。您的 squid 代理正在使用真实的 SSL 连接到外部世界。所有内容都经过加密(但不一定由正确的一方加密,因此会弹出错误)
答案2
为了避免这种情况,您需要安装中级证书或使用其他浏览器。由于浏览器预装了中级证书,因此您可以尝试升级浏览器