Допустим, в целях безопасности есть необходимость в фильтрации ssl трафика и мы решаем использовать ssl_bump на Сквиде. Генерим ключевую пару с самоподписанным сертификатом и добавляем наш CA сертификат во всё что можно на юзерских машинах. При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться на наши левые сертификаты и строка адреса всегда будет "зелёной". И тут наш пользователь заходит на фишинговый HTTPS ресурс с левым сертификатом...
Вопрос в том, как себя поведёт при этом Squid - он сгенерит ключевую пару для запрашиваемого домена с помощью своей ключевой пары и пользователь увидит "зелёный замочек", подумает, что всё ОК и попытается расплатится на нём своей платёжной картой (со всеми вытекающими) или всё-таки есть возможность, к примеру подключить к ssl_bump CAbundle (например https://raw.githubusercontent.com/bagder/ca-bundle/master/ca...), настроить запросы к CRL/OCSP, включить проверку валидности сертификата сайта и, в случае невозможности проверки, допустим передавать конечному пользователю оригинальный сертификат или подсовывать просроченный, на который браузер будет ругаться? Иначе теряется весь смысл в использовании PKI и вместо повышения безопасности мы получаем прямо противоположный эффект.
> При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться
> на наши левые сертификаты и строка адреса всегда будет "зелёной".Кто те сказал, что они будут зелёные?
http://i75.fastpic.ru/big/2015/1110/b4/5168018fb85971d9b305e...
А с чего бы не быть зеленым? У Вас в картинке "не зеленый" потому что используется (уже) ненадежный SHA1.
> А с чего бы не быть зеленым?Ну попробуй с ssl_bump зайти на фейсбук.
А ещё весело, когда SSL сайт делает кроссдоменные коннекты на обычный HTTP.
А еще если кросс домены и один из них с "недоверенным" сертом, зелёнка сразу исчезает.
И ваще веселуха, если зоопарк из всего перечисленного и сервак в CDN :D
RTFM, параметр sslproxy_cert_error - http://www.squid-cache.org/Doc/config/sslproxy_cert_error/
