Configure Squid to pass througt SSL traffic for specific hosts instead of intercepting it
I'm currenty using squid on a pfSense box to intercept SSL which works well. The problem now is that WhatsApp Web will not work throught this proxy because it does not hold up to the Handshake proceedure as expected which causes squid to terminate this connection.
Is it possible to exclude specific targets from SSL interception in squid to prevent this problem?
То, что вы просите, невозможно. То, что вы, по-видимому, пытаетесь достичь, требует чего-то другого.
Потому что перехват на самом деле осуществляется системой NAT pfSense. Squid - это просто процесс получения перехваченных TCP-соединений и выполнения частей дешифровки TLS.
Для обхода перехвата вам нужно изменить конфигурацию NAT системы pfSense. Как только пакеты достигают Squid, становится слишком поздно - единственный вариант - прокси-сервер или прерывание. Однако, заблаговременное определение того, превратится ли какой-либо конкретный TCP SYN пакет в HTTPS или WhatsApp соединение, является проблемой. Поэтому обход перехвата обычно не стоит проблем.
Так что на самом деле вам нужно обнаружить их в Squid во время обработки SSL-Bump и tunnel (не обходя) соответствующего трафика через прокси.
Squid-3.5 может сделать это с помощью действия "ssl_bump splice", если трафик на самом деле TLS, но не расшифровываемый (используйте TLS SNI и/или сведения о сертификате сервера для принятия решения о сплайсинге). Если этого недостаточно, Squid-4 предоставляет http://www.squid-cache.org/Doc/config/on_unsupported_protocol/ возможность туннелирования трафика, который оказывается не-TLS на порту 443.
.