Idézet ("Kosa Attila" <zsiga@kosaek.hu>): Hello!
A zorp 3.3.6-1.1 verzioju, a firefox es a google chrome a legujabb (magyar Windows 7 Ultimate alatt futnak). Egy nagyon egyszeru https zorp proxy-n keresztul mennek ki a https kapcsolatok. A tuzfal a sajat certificate-jet mutatja a belso halozat klienseinek, amelyeken importalasra kerult az a CA, amellyel ala van irva a tuzfal cert-je. Peldaul az otpbank weboldala gond nelkul bejon (es meg sok mas oldal is), de a gmail.com nem. Firefox alatt eloszor arra panaszkodott, hogy "sec_error_cert_signature_algorithm_disabled". Az about:config-ban a "security.enable_md5_signatures" true-ra allitasaval sikerult atlendulni ezen a hibauzeneten, de jott egy masik: "ssl_error_bad_cert_domain". Ami igaz is, de _minden_ mas https-es oldalra is igaz, hiszen a kliens a tuzfal cert-jet latja, mas https-es oldalak megis mukodnek, csak a gmail.com nem akar.
Google chrome alatt pedig azt irja, hogy "Nem folytathatja, mert a honlap üzemeltetője fokozott biztonságot kért erre a domainre."
Azonban en megis ki szeretnek menni a gmail-re, ezen a zorp https proxy-n keresztul. Mit kellene beallitani a bongeszokben, hogy ezt megengedjek?
Firefox alatt mar probaltam a "browser.xul.error_pages.expert_bad_cert" opciot true-ra allitani. Igy megjelent az a gomb, hogy kivetelt adhatok hozza, de hiaba adom hozza, akkor sem megy tovabb...
Lehet, hogy ez itt a gond: Zorp3.4.3 és előtte: Április 1 től úgy látszik szigorúbb lett a Chrome browser, de lehet hogy követi a többi is lassan. Lásd attacsment. "Since MD5 is claimed to be vulnerable and federal agencies start to urge phase out SHA1, we should use refrain from using MD5; use SHA-256 if we can; at least use SHA1." A keybridge pedig ennek nem tesz eleget: Keybridge.py def genCert(self, key, orig_cert, ca_cert, ca_key, serial): filetype = OpenSSL.crypto.FILETYPE_PEM new_cert = OpenSSL.crypto.load_certificate(filetype, OpenSSL.crypto.dump_certificate(filetype, orig_cert)) new_cert.set_serial_number(serial) new_cert.set_issuer(ca_cert.get_subject()) new_cert.set_pubkey(key) if ca_key.type() == OpenSSL.crypto.TYPE_DSA: hash_alg = "DSA-SHA1" # taken from openssl-0.9.8i/crypto/objects/obj_dat.h else: --->>> hash_alg = "md5" new_cert.sign(ca_key, hash_alg) return new_cert c