Endian Firewall: Proxy Https : Certificado no seguro, actualizar a SHA-256/SHA-512

Imagen de RazaMetaL

Tema: 

Endian Firewall es una distribución para firewall muy completa y flexible, pero no es actualizada con mucha frecuencia.

Esta distribución usa Squid para el filtrado de sitios, cuenta además con un proxy https que permite filtrar sitios https no deseados, por ejemplo puedes filtrar facebook.com, youtube.com y todos los sitios https que se te ocurran de una manera muy eficiente.

A partir del año 2017 los certificados que utilizan el algoritmo de cifrado SHA-1 serán rechazados y los sitios reportados por Google como inseguros. Es necesario entonces modificar el certificado del proxy https a un certificado mas seguro como SHA-256 ó SHA-512. Este certificado es que se debe importar en los terminales para evitar el mensaje de alerta de certificado no válido.

Relizamos primero un respaldo del certificado SHA-1:
<code>
cd /var/efw/proxy
mv https_proxy_cert.crt https_proxy_cert.crt.old
mv https_cert  https_cert .old
</code>

Generamos el nuevo certificado:
<code>
openssl req -x509 -nodes -sha256 -days 3650 -newkey rsa:2048 -keyout https_cert.key -out https_proxy_cert.crt
openssl x509 -noout -text -in https_proxy_cert.crt
</code>

Luego compiamos la llave y el certificado en el archivo https_cert:
<code>
cat https_cert.key > https_cert
cat https_proxy_cert.crt >> https_cert
</code>

Y reiniciamos Squid:
<code>
/etc/init.d/squid restart
</code>

Ingresar a la administración de Endian, ir a Proxy / Proxy HTTPS y descargar el certificado que imporateros en los terminales dando click en el enlace que esta junto al texto Cargar certificado proxy (Download).

Finalmente, importar el certificado descargado en el sistema operativo que estemos utilizando.

Comentarios