質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Squid

Squidは、TCP/IPネットワークでのユーザーとサーバの通信を中継するオープンソースのプロキシサーバソフト。リバースプロキシやキャッシュサーバとして使用することも可能です。

Q&A

解決済

2回答

3163閲覧

cache.logのcertificate verify failed表示について

norio1435

総合スコア7

Squid

Squidは、TCP/IPネットワークでのユーザーとサーバの通信を中継するオープンソースのプロキシサーバソフト。リバースプロキシやキャッシュサーバとして使用することも可能です。

0グッド

0クリップ

投稿2021/11/08 00:21

前提・実現したいこと

OS:CentOS7
squid:3.5.20
ssl_bump:なし

cache.logを見ると、以下のようなエラーが表示されているのですが、これを解決する方法はないでしょうか?
Error negotiating SSL on FD
SSL routines:ssl3_get_server_certificate:certificate verify failed
SSL routines:ssl3_get_server_hello:parse tlsext

発生している問題・エラーメッセージ

2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 384: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0) 2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 363: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0) 2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 346: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0) 2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 363: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0) 2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 148: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0) 2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 66: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0) 2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 385: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)

該当時間のaccess.log

192.168.1.1 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gsp64-ssl.ls.apple.com:443 HTTP/1.1" 200 3885 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.2 - - [08/Nov/2021:07:41:41 +0900] "CONNECT configuration.ls.apple.com:443 HTTP/1.1" 200 7907 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT mesu.apple.com:443 HTTP/1.1" 200 6140 "-" "$%7BPRODUCT_NAME%7D/$%28CURRENT_PROJECT_VERSION%29 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gateway.icloud.com:443 HTTP/1.1" 200 7335 "-" "CloudKit/867 (17G68)" TCP_TUNNEL:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://basejumper.apple.com/ HTTP/1.1" 503 4186 "-" "sharingd/1579 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_NONE 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET http://captive.apple.com/hotspot-detect.html HTTP/1.0" 200 729 "-" "CaptiveNetworkSupport-407.40.1 wispr" TCP_REFRESH_UNMODIFIED:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://init.ess.apple.com/WebObjects/VCInit.woa/wa/getBag?ix=3 HTTP/1.1" 503 4835 "-" "server-bag [iPhone OS,14.4,18D52,iPad5,3]" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://mesu.apple.com/assets/com_apple_MobileAsset_VoiceTriggerAssetsIPad/com_apple_MobileAsset_VoiceTriggerAssetsIPad.xml HTTP/1.1" 304 380 "-" "$%7BPRODUCT_NAME%7D/$%28CURRENT_PROJECT_VERSION%29 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://pancake.apple.com/bags/maple/ios/reflection?version=11.75.2 HTTP/1.1" 503 4819 "-" "rtcreportingd (unknown version) CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://configuration.ls.apple.com/config/defaults?os=ios&os_version=14.4&hardware=iPad5,3 HTTP/1.1" 304 280 "-" "geod/1 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gspe35-ssl.ls.apple.com/config/announcements?environment=prod&hardware=iPad5,3&lang=ja&os=ios&os_build=18D52&os_version=14.4 HTTP/1.1" 304 281 "-" "MapsSupport/1 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://bag.itunes.apple.com/bag.xml?os=iOS&osVersion=14.4&deviceClass=iPad&product=com.apple.bookassetd&productVersion=1.0&profile=iBooks&profileVersion=1&format=json&storefront=143462-9,30 HTTP/1.1" 200 7169 "-" "com.apple.bookassetd/1.0 iOS/14.4 model/iPad5,3 hwp/t7001 build/18D52 (5; dt:113) AMS/1" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gateway.icloud.com/configuration/configurations/internetservices/cloudkit/cloudkit-1.0.plist HTTP/1.1" 200 25814 "-" "CloudKit/970 (18D52)" TCP_MISS:HIER_DIRECT 192.168.1.5 - - [08/Nov/2021:07:41:41 +0900] "CONNECT aidc.apple.com:443 HTTP/1.1" 200 8518 "-" "sharingd/1526.37 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://init.itunes.apple.com/bag.xml?ix=6&os=14&locale=ja_JP HTTP/1.1" 200 35093 "-" "itunescloudd/1.0 iOS/14.4 model/iPad5,3 hwp/t7001 build/18D52 (5; dt:113)" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://pancake.apple.com/bags/maple/ios/coreaudio?version=11.75.2 HTTP/1.1" 503 4816 "-" "rtcreportingd (unknown version) CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gsa.apple.com/grandslam/GsService2/lookup HTTP/1.1" 503 5126 "-" "akd/1.0 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "POST https://p60-quota.icloud.com/quotaservice/external/ios/10792122028/fetchOffers HTTP/1.1" 401 661 "-" "ind/113 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "POST https://gs-loc.apple.com/clls/wloc HTTP/1.1" 200 8247 "-" "locationd/2420.12.16 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://setup.icloud.com/configurations/init?context=settings HTTP/1.1" 200 3067 "-" "%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88/113 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT mesu.apple.com:443 HTTP/1.1" 200 6139 "-" "$%7BPRODUCT_NAME%7D/$%28CURRENT_PROJECT_VERSION%29 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gateway.icloud.com:443 HTTP/1.1" 200 28231 "-" "CloudKit/867 (17G68)" TCP_TUNNEL:HIER_DIRECT 192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gateway.icloud.com:443 HTTP/1.1" 200 7361 "-" "CloudKit/867 (17G68)" TCP_TUNNEL:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gsa.apple.com/grandslam/GsService2/lookup/000574-08-c840c5f1-3e42-4460-a9e6-8b4ec8da2a3f HTTP/1.1" 503 5269 "-" "akd/1.0 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://configuration.apple.com/configurations/internetservices/cloudkit/reminders-1.0.plist HTTP/1.1" 200 3531 "-" "remindd/289.1 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT

試したこと

関係があるのか分かりませんが、basejumper.apple.com、init.ess.apple.com、pancake.apple.com、gsa.apple.comのサイトでHTTP 503エラーが表示されています。これが原因でしょうか?

よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

Error negotiating SSL on FD 180: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0)

"debug_options ALL,1 83,9" で調べると、X509_V_ERR_AKID_SKID_MISMATCH ("Authority and subject key identifier mismatch") のエラーとのことです。
curl/CentOS 7, openssl s_client/CentOS 7 (クライアント側で証明書チェック)は問題なし、squid-4.11 でも問題ないので、squid-3.5.20 固有の問題でしょうか?
設定で回避する方法は見つかりませんでした。

投稿2021/11/11 01:27

編集2021/11/11 01:29
TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

norio1435

2021/11/11 06:59

情報ありがとうございました。 端末に導入しているコンテンツフィルタが影響しているのではないかと思いますので、確認をしたいと思います。
guest

0

ベストアンサー

宛先Webサーバーの証明書のベリファイに失敗しているようです。
ただ、プロキシ経由で HTTPS 接続する場合、通常は GET メソッドではなく CONNECT メソッドになるはずです。
(CONNECT でトンネルして、クライアント(ブラウザ)が宛先Webサーバーの証明書をベリファイする)

ssl_bump なしということなので、クライアント 192.168.1.4 が HTTPS サイトに (CONNECT ではなく) GET でリクエストしているようです。
これは意図した挙動でしょうか?

クライアント 192.168.1.4 側を見直した方がいいと思いますが、現状のままベリファイエラーを無視するのであれば、以下の設定を追加するといいと思います。

acl https_get_clients src 192.168.1.4 sslproxy_cert_error allow https_get_clients

投稿2021/11/08 05:39

TaichiYanagiya

総合スコア12173

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

norio1435

2021/11/08 07:02

回答ありがとうございます。 この通信は意図したものではありません。端末はiPadであり、利用していない夜中にもログがあることから、iPadが勝手に通信しているものではないかと思います。 あと、環境について不足している情報がありましたので、追加しておきます。 ごめんなさい。。。 ホストOS:Windows Server 2016 ゲストOS:CentOS7.9 仮想化:Hyper-V(NAT使用) ポートフォワーディング:有効 ホストOSのポート8080から、ゲストOSのポート8080へフォワーディングしています。 よろしくお願いします。
norio1435

2021/11/08 07:06 編集

以下のコマンドをホストOS上で実行し、フォワーディングしています。 Add-NetNatStaticMapping WinNAT -ExternalIPAddress 0.0.0.0 -InternalIPAddress 192.168.100.1 -ExternalPort 8080 -Protocol TCP -InternalPort 8080
TaichiYanagiya

2021/11/08 08:33

たぶん、iPad 側プロセス(下記 User-Agent)のプロキシの使い方(HTTPS サイトに CONNECT ではなく GET)がよろしくないのだと思います。 ・sharingd/1579 CFNetwork/1220.1 Darwin/20.3.0 ・server-bag [iPhone OS,14.4,18D52,iPad5,3] ・rtcreportingd (unknown version) CFNetwork/1220.1 Darwin/20.3.0 ・akd/1.0 CFNetwork/1220.1 Darwin/20.3.0 iPad 側には Apple 独自 CA 証明書があって、直接接続した場合は証明書ベリファイ OK、プロキシ経由の CONNECT もたぶん OK だけど、プロキシ経由の GET だと Squid は Apple 独自 CA 証明書を持っていないのでベリファイ NG になるのかと。
norio1435

2021/11/08 10:16

ありがとうございます。 iPad側にはCONNECTではなく、GETを使うというような設定はないため、どうしようもありませんね。 回答いただいた設定を行うと、エラー表示はなくなったようです。 ありがとうございました。
norio1435

2021/11/10 09:30

しばらく様子をみていましたが、以下のようなエラーが出るようになりました。 ・cache.log 2021/11/10 11:15:42 kid1| Error negotiating SSL on FD 180: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0) ・access.log 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "GET https://pancake.apple.com/bags/maple/wings?version=10.89 HTTP/1.1" 503 4788 "-" "rtcreportingd (unknown version) CFNetwork/1128.0.1 Darwin/19.6.0" TCP_MISS:HIER_DIRECT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "CONNECT bag.itunes.apple.com:443 HTTP/1.1" 200 14665 "-" "com.apple.AppleMediaServices/1.0 iOS/13.6 model/iPad7,11 hwp/t8010 build/17G68 (5; dt:214) AMS/1" TCP_TUNNEL:HIER_DIRECT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "CONNECT bag.itunes.apple.com:443 HTTP/1.1" 200 13979 "-" "itunesstored/1.0 iOS/13.6 model/iPad7,11 hwp/t8010 build/17G68 (5; dt:214) AMS/1" TCP_TUNNEL:HIER_DIRECT 192.168.1.2 - - [10/Nov/2021:11:15:42 +0900] "CONNECT guzzoni.apple.com:443 HTTP/1.1" 200 5366 "-" "AssistantServices/1 CFNetwork/1240.0.4 Darwin/20.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.3 - - [10/Nov/2021:11:15:42 +0900] "CONNECT gspe1-ssl.ls.apple.com:443 HTTP/1.1" 200 768 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "POST https://setup.icloud.com/setup/family/v2/getFamilyDetails HTTP/1.1" 200 1198 "-" "FamilyCircle/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [10/Nov/2021:11:15:42 +0900] "CONNECT presence.teams.microsoft.com:443 HTTP/1.1" 200 7177 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Teams/1.4.00.29469 Chrome/85.0.4183.121 Electron/10.4.7 Safari/537.36" TCP_TUNNEL:HIER_DIRECT 192.168.1.5 - - [10/Nov/2021:11:15:42 +0900] "CONNECT gw.service-sync.com:443 HTTP/1.1" 200 6826 "-" "MDM/1.0" TCP_TUNNEL:FIRSTUP_PARENT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "GET http://init.ess.apple.com/WebObjects/VCInit.woa/wa/getBag?ix=3 HTTP/1.1" 200 9167 "-" "server-bag [iPhone OS,13.6,17G68,iPad7,11]" TCP_MISS:HIER_DIRECT 192.168.1.6 - - [10/Nov/2021:11:15:42 +0900] "CONNECT configuration.ls.apple.com:443 HTTP/1.1" 200 7907 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問