Сквид ssl_bump server_first
Я использовал Солнечные ветры Свободный Сервер TFTP в прошлом для тестирования, и это было прекрасно.
Разница между «сначала сервером» и «сначала клиентом» заключается в том, какое сообщение об ошибке пользователь видит (или не видит)
При использовании SSL «сначала клиент» возникает три проблемы:
- Представленный сертификат SSL не соответствует месту назначения; например, клиент видит, что сертификат SSL выдан для proxy.yourdomain.com, но пользователь пытается посетить www.securewebsite.com. Их браузер предупредит их об этом. (плохо)
- Сертификат SSL получен от ненадежного центра сертификации. Их браузер тоже предупредит их об этом. (плохо)
- Если есть проблема с SSL-сертификатом сервера, нет хорошего способа сообщить об этом клиенту. К тому времени, когда Squid обнаруживает ошибку (возможно, срок ее действия истек, не заслуживает доверия, не для того сайта и т. Д.), У клиента уже есть «хороший» SSL-сертификат и думает, что получит реальный трафик. Их браузер не может предупредить их об этом. (тоже плохо)
Удар SSL по первому серверу устраняет первую и третью проблемы. Остается второй. Вот достойный ресурс, посвященный аргументам в пользу использования ssl bumping в первую очередь сервера . Очевидно, он был написан, когда функция еще только разрабатывалась, так что не позволяйте будущему времени вводить вас в заблуждение.
Поскольку вы сгенерировали сертификат сами, и любой может создать сертификат самостоятельно, наличие сертификата не означает общение безопасно. Сертификат должен быть от эмитента, которому вы доверяете. Браузеры по умолчанию поставляются со списком доверенных центров сертификации. Эти центры сертификации подтверждают сертификаты, которые они продают, и именно так ваш компьютер узнает, что сертификаты можно доверять.
Решение этой проблемы состоит в том, что вы должны указать вашему компьютеру доверять сертификату, который вы используете для ssl-bumping. Процедура отличается для разных ОС. Для клиентов Windows вы можете отправить что-то через GPO, для мобильных устройств - с помощью MDM и т. Д.
Просто для тестирования (в Windows) вы можете щелкнуть сертификат правой кнопкой мыши и выбрать установку. Пройдите через мастера. Вместо того, чтобы позволять окнам выбирать, куда поместить сертификат, просмотрите и выберите Доверенные корневые центры сертификации. Как только вы это сделаете, ваш компьютер будет доверять любому сертификату, сгенерированному вашим ssl-bump сервером squid.
для мобильных устройств вы можете отправить его с помощью MDM и т. д.Просто для тестирования (в Windows) вы можете щелкнуть сертификат правой кнопкой мыши и выбрать установку. Пройдите через мастера. Вместо того, чтобы позволять окнам выбирать, куда поместить сертификат, просмотрите и выберите Доверенные корневые центры сертификации. Как только вы это сделаете, ваш компьютер будет доверять любому сертификату, сгенерированному вашим ssl-bump сервером squid.
для мобильных устройств вы можете отправить его с помощью MDM и т. д.Просто для тестирования (в Windows) вы можете щелкнуть сертификат правой кнопкой мыши и выбрать установку. Пройдите через мастера. Вместо того, чтобы позволять окнам выбирать, куда поместить сертификат, просмотрите и выберите Доверенные корневые центры сертификации. Как только вы это сделаете, ваш компьютер будет доверять любому сертификату, сгенерированному вашим ssl-bump сервером squid.