cache.logのcertificate verify failed表示について

前提・実現したいこと

OS:CentOS7
squid:3.5.20
ssl_bump:なし

cache.logを見ると、以下のようなエラーが表示されているのですが、これを解決する方法はないでしょうか？
Error negotiating SSL on FD
SSL routines:ssl3_get_server_certificate:certificate verify failed
SSL routines:ssl3_get_server_hello:parse tlsext

発生している問題・エラーメッセージ

2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 384: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)
2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 363: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0)
2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 346: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)
2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 363: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0)
2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 148: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0)
2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 66: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0)
2021/11/08 07:41:41 kid1| Error negotiating SSL on FD 385: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed (1/-1/0)

該当時間のaccess.log

192.168.1.1 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gsp64-ssl.ls.apple.com:443 HTTP/1.1" 200 3885 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT
192.168.1.2 - - [08/Nov/2021:07:41:41 +0900] "CONNECT configuration.ls.apple.com:443 HTTP/1.1" 200 7907 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT
192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT mesu.apple.com:443 HTTP/1.1" 200 6140 "-" "$%7BPRODUCT_NAME%7D/$%28CURRENT_PROJECT_VERSION%29 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT
192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gateway.icloud.com:443 HTTP/1.1" 200 7335 "-" "CloudKit/867 (17G68)" TCP_TUNNEL:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://basejumper.apple.com/ HTTP/1.1" 503 4186 "-" "sharingd/1579 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_NONE
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET http://captive.apple.com/hotspot-detect.html HTTP/1.0" 200 729 "-" "CaptiveNetworkSupport-407.40.1 wispr" TCP_REFRESH_UNMODIFIED:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://init.ess.apple.com/WebObjects/VCInit.woa/wa/getBag?ix=3 HTTP/1.1" 503 4835 "-" "server-bag [iPhone OS,14.4,18D52,iPad5,3]" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://mesu.apple.com/assets/com_apple_MobileAsset_VoiceTriggerAssetsIPad/com_apple_MobileAsset_VoiceTriggerAssetsIPad.xml HTTP/1.1" 304 380 "-" "$%7BPRODUCT_NAME%7D/$%28CURRENT_PROJECT_VERSION%29 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://pancake.apple.com/bags/maple/ios/reflection?version=11.75.2 HTTP/1.1" 503 4819 "-" "rtcreportingd (unknown version) CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://configuration.ls.apple.com/config/defaults?os=ios&os_version=14.4&hardware=iPad5,3 HTTP/1.1" 304 280 "-" "geod/1 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gspe35-ssl.ls.apple.com/config/announcements?environment=prod&hardware=iPad5,3&lang=ja&os=ios&os_build=18D52&os_version=14.4 HTTP/1.1" 304 281 "-" "MapsSupport/1 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://bag.itunes.apple.com/bag.xml?os=iOS&osVersion=14.4&deviceClass=iPad&product=com.apple.bookassetd&productVersion=1.0&profile=iBooks&profileVersion=1&format=json&storefront=143462-9,30 HTTP/1.1" 200 7169 "-" "com.apple.bookassetd/1.0 iOS/14.4 model/iPad5,3 hwp/t7001 build/18D52 (5; dt:113) AMS/1" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gateway.icloud.com/configuration/configurations/internetservices/cloudkit/cloudkit-1.0.plist HTTP/1.1" 200 25814 "-" "CloudKit/970 (18D52)" TCP_MISS:HIER_DIRECT
192.168.1.5 - - [08/Nov/2021:07:41:41 +0900] "CONNECT aidc.apple.com:443 HTTP/1.1" 200 8518 "-" "sharingd/1526.37 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://init.itunes.apple.com/bag.xml?ix=6&os=14&locale=ja_JP HTTP/1.1" 200 35093 "-" "itunescloudd/1.0 iOS/14.4 model/iPad5,3 hwp/t7001 build/18D52 (5; dt:113)" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://pancake.apple.com/bags/maple/ios/coreaudio?version=11.75.2 HTTP/1.1" 503 4816 "-" "rtcreportingd (unknown version) CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gsa.apple.com/grandslam/GsService2/lookup HTTP/1.1" 503 5126 "-" "akd/1.0 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "POST https://p60-quota.icloud.com/quotaservice/external/ios/10792122028/fetchOffers HTTP/1.1" 401 661 "-" "ind/113 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "POST https://gs-loc.apple.com/clls/wloc HTTP/1.1" 200 8247 "-" "locationd/2420.12.16 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://setup.icloud.com/configurations/init?context=settings HTTP/1.1" 200 3067 "-" "%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88/113 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT mesu.apple.com:443 HTTP/1.1" 200 6139 "-" "$%7BPRODUCT_NAME%7D/$%28CURRENT_PROJECT_VERSION%29 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT
192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gateway.icloud.com:443 HTTP/1.1" 200 28231 "-" "CloudKit/867 (17G68)" TCP_TUNNEL:HIER_DIRECT
192.168.1.3 - - [08/Nov/2021:07:41:41 +0900] "CONNECT gateway.icloud.com:443 HTTP/1.1" 200 7361 "-" "CloudKit/867 (17G68)" TCP_TUNNEL:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://gsa.apple.com/grandslam/GsService2/lookup/000574-08-c840c5f1-3e42-4460-a9e6-8b4ec8da2a3f HTTP/1.1" 503 5269 "-" "akd/1.0 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT
192.168.1.4 - - [08/Nov/2021:07:41:41 +0900] "GET https://configuration.apple.com/configurations/internetservices/cloudkit/reminders-1.0.plist HTTP/1.1" 200 3531 "-" "remindd/289.1 CFNetwork/1220.1 Darwin/20.3.0" TCP_MISS:HIER_DIRECT

試したこと

関係があるのか分かりませんが、basejumper.apple.com、init.ess.apple.com、pancake.apple.com、gsa.apple.comのサイトでHTTP 503エラーが表示されています。これが原因でしょうか？

よろしくお願いします。

行動規範の内容に同意します

回答2件

Error negotiating SSL on FD 180: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0)

"debug_options ALL,1 83,9" で調べると、X509_V_ERR_AKID_SKID_MISMATCH ("Authority and subject key identifier mismatch") のエラーとのことです。
curl/CentOS 7, openssl s_client/CentOS 7 (クライアント側で証明書チェック)は問題なし、squid-4.11 でも問題ないので、squid-3.5.20 固有の問題でしょうか？
設定で回避する方法は見つかりませんでした。

投稿2021/11/11 01:27

編集2021/11/11 01:29

TaichiYanagiya

総合スコア12148

norio1435

2021/11/11 06:59

情報ありがとうございました。端末に導入しているコンテンツフィルタが影響しているのではないかと思いますので、確認をしたいと思います。

行動規範の内容に同意します

ベストアンサー

宛先Webサーバーの証明書のベリファイに失敗しているようです。
ただ、プロキシ経由で HTTPS 接続する場合、通常は GET メソッドではなく CONNECT メソッドになるはずです。
(CONNECT でトンネルして、クライアント(ブラウザ)が宛先Webサーバーの証明書をベリファイする)

ssl_bump なしということなので、クライアント 192.168.1.4 が HTTPS サイトに (CONNECT ではなく) GET でリクエストしているようです。
これは意図した挙動でしょうか？

クライアント 192.168.1.4 側を見直した方がいいと思いますが、現状のままベリファイエラーを無視するのであれば、以下の設定を追加するといいと思います。

acl https_get_clients src 192.168.1.4
sslproxy_cert_error allow https_get_clients

投稿2021/11/08 05:39

TaichiYanagiya

総合スコア12148

norio1435

2021/11/08 07:02

回答ありがとうございます。この通信は意図したものではありません。端末はiPadであり、利用していない夜中にもログがあることから、iPadが勝手に通信しているものではないかと思います。あと、環境について不足している情報がありましたので、追加しておきます。ごめんなさい。。。ホストOS：Windows Server 2016 ゲストOS：CentOS7.9 仮想化：Hyper-V(NAT使用) ポートフォワーディング：有効ホストOSのポート8080から、ゲストOSのポート8080へフォワーディングしています。よろしくお願いします。

norio1435

2021/11/08 07:06 編集

以下のコマンドをホストOS上で実行し、フォワーディングしています。 Add-NetNatStaticMapping WinNAT -ExternalIPAddress 0.0.0.0 -InternalIPAddress 192.168.100.1 -ExternalPort 8080 -Protocol TCP -InternalPort 8080

TaichiYanagiya

2021/11/08 08:33

たぶん、iPad 側プロセス(下記 User-Agent)のプロキシの使い方(HTTPS サイトに CONNECT ではなく GET)がよろしくないのだと思います。・sharingd/1579 CFNetwork/1220.1 Darwin/20.3.0 ・server-bag [iPhone OS,14.4,18D52,iPad5,3] ・rtcreportingd (unknown version) CFNetwork/1220.1 Darwin/20.3.0 ・akd/1.0 CFNetwork/1220.1 Darwin/20.3.0 iPad 側には Apple 独自 CA 証明書があって、直接接続した場合は証明書ベリファイ OK、プロキシ経由の CONNECT もたぶん OK だけど、プロキシ経由の GET だと Squid は Apple 独自 CA 証明書を持っていないのでベリファイ NG になるのかと。

norio1435

2021/11/08 10:16

ありがとうございます。 iPad側にはCONNECTではなく、GETを使うというような設定はないため、どうしようもありませんね。回答いただいた設定を行うと、エラー表示はなくなったようです。ありがとうございました。

norio1435

2021/11/10 09:30

しばらく様子をみていましたが、以下のようなエラーが出るようになりました。・cache.log 2021/11/10 11:15:42 kid1| Error negotiating SSL on FD 180: error:140920E3:SSL routines:ssl3_get_server_hello:parse tlsext (1/-1/0) ・access.log 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "GET https://pancake.apple.com/bags/maple/wings?version=10.89 HTTP/1.1" 503 4788 "-" "rtcreportingd (unknown version) CFNetwork/1128.0.1 Darwin/19.6.0" TCP_MISS:HIER_DIRECT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "CONNECT bag.itunes.apple.com:443 HTTP/1.1" 200 14665 "-" "com.apple.AppleMediaServices/1.0 iOS/13.6 model/iPad7,11 hwp/t8010 build/17G68 (5; dt:214) AMS/1" TCP_TUNNEL:HIER_DIRECT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "CONNECT bag.itunes.apple.com:443 HTTP/1.1" 200 13979 "-" "itunesstored/1.0 iOS/13.6 model/iPad7,11 hwp/t8010 build/17G68 (5; dt:214) AMS/1" TCP_TUNNEL:HIER_DIRECT 192.168.1.2 - - [10/Nov/2021:11:15:42 +0900] "CONNECT guzzoni.apple.com:443 HTTP/1.1" 200 5366 "-" "AssistantServices/1 CFNetwork/1240.0.4 Darwin/20.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.3 - - [10/Nov/2021:11:15:42 +0900] "CONNECT gspe1-ssl.ls.apple.com:443 HTTP/1.1" 200 768 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "POST https://setup.icloud.com/setup/family/v2/getFamilyDetails HTTP/1.1" 200 1198 "-" "FamilyCircle/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_MISS:HIER_DIRECT 192.168.1.4 - - [10/Nov/2021:11:15:42 +0900] "CONNECT presence.teams.microsoft.com:443 HTTP/1.1" 200 7177 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Teams/1.4.00.29469 Chrome/85.0.4183.121 Electron/10.4.7 Safari/537.36" TCP_TUNNEL:HIER_DIRECT 192.168.1.5 - - [10/Nov/2021:11:15:42 +0900] "CONNECT gw.service-sync.com:443 HTTP/1.1" 200 6826 "-" "MDM/1.0" TCP_TUNNEL:FIRSTUP_PARENT 192.168.1.1 - - [10/Nov/2021:11:15:42 +0900] "GET http://init.ess.apple.com/WebObjects/VCInit.woa/wa/getBag?ix=3 HTTP/1.1" 200 9167 "-" "server-bag [iPhone OS,13.6,17G68,iPad7,11]" TCP_MISS:HIER_DIRECT 192.168.1.6 - - [10/Nov/2021:11:15:42 +0900] "CONNECT configuration.ls.apple.com:443 HTTP/1.1" 200 7907 "-" "geod/1 CFNetwork/1128.0.1 Darwin/19.6.0" TCP_TUNNEL:HIER_DIRECT

行動規範の内容に同意します

あなたの回答