The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Ssl_dump на прозрачном squid без сертификатов в браузере"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Прозрачный proxy)
Изначальное сообщение [ Отслеживать ]

"Ssl_dump на прозрачном squid без сертификатов в браузере"  +/
Сообщение от hudsucker (ok) on 08-Фев-17, 17:24 
Добрый день!
Пытаюсь настроить Squid для корпоративной сети. Нужно работать в двух режимах непрозрачный с авторизацией по группам в АД, и прозрачный для разного рода устройств, которые либо не поддерживают WPAD, либо нет возможности указывать прокси в браузере вручную (гостевые android телефоны, ноутбуки, ПК и т.д).
С первым вариантом все в порядке.
Со вторым - затык. HTTP работает, HTTPS как бы тоже, но браузер ругается на поддельный сертификат. Устанавливать сертификаты на каждое новое устройство желания нет.
Поэтому вопрос:
Есть ли возможность настроить Сквид в прозрачном(!) режиме для работы с https без установки сквидовского сертификата на клиенты? В гугле искал, оф. документацию читал, ответа пока не нашел. Достаточно чтобы Сквид просто смотрел SNI в Client Hello, и пропускал (то есть splice) или делал terminate, в зависимости от SNI, ну и писал логи по этим сайтам. То есть можно обойтись без дешифровки (bump)
Спасибо
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Ssl_dump на прозрачном squid без сертификатов в браузере"  +1 +/
Сообщение от au on 10-Фев-17, 08:50 
https://github.com/dlundquist/sniproxy

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Ssl_dump на прозрачном squid без сертификатов в браузере"  +/
Сообщение от Andrey Mitrofanov on 10-Фев-17, 09:32 
> https://github.com/dlundquist/sniproxy

По словам  squid ssl SNI  нашлось вот такое - http://wiki.squid-cache.org/Features/SslPeekAndSplice (я совершенно не понимаю, как это работает, мне не надо).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Ssl_dump на прозрачном squid без сертификатов в браузере"  +/
Сообщение от hudsucker (ok) on 10-Фев-17, 15:22 
>> https://github.com/dlundquist/sniproxy
> По словам  squid ssl SNI  нашлось вот такое - http://wiki.squid-cache.org/Features/SslPeekAndSplice
> (я совершенно не понимаю, как это работает, мне не надо).

Да, это я читал в первую очередь и не один раз. И судя с этой статьи, если я правильно ее понял, если делать
ssl_bump peek step1
ssl_bump splice all
то подмены сертификата сервера не происходит. Но браузер все равно ругается что сертификат поддельный. Почему, я до сих пор не понял

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Ssl_dump на прозрачном squid без сертификатов в браузере"  +/
Сообщение от PavelR (??) on 10-Фев-17, 16:12 
> https://github.com/dlundquist/sniproxy

Спасибо за ссылку, возможно будет полезна.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor