История изменений

Исправление MumiyTroll, 26.09.14 16:15 (текущая версия) :

кто то говорит можно в squid3 запрещать https трафик, кто-то говорит что это надо делать через iptables

Что значить «запрещать»? Вообще запретить доступ наружу по HTTPS? Можно, конечно и сквидом, но iptables'ами проще. Ну и конечно пол-интернета отвалится.

Если же речь идёт о фильтрации, т.е. выборочно что-то запрещать, то тут есть только одна проблема — SSL вообще и HTTPS в частности были придуманы для того, чтобы никто между клиентом и сервером не мог ни прочитать трафик, ни, тем более, его изменить.

У сквида есть механизм для решения данной проблемы (но он, конечно, далеко не идеален) — ssl-bump. В режиме server-first сквид, получив запрос клиента, подключается к запрошенному серверу, получает его сертификат, генерит новый со всеми теми-же параметрами и подписывает его собственным сертификатом, а затем прикидывается целевым сервером для клиента и таким образом может контролировать доступ. Так вот чтобы это работало корректно, необходимо чтобы клиент доверял сертификату сквида, которым он подписывает самостоятельно сгенерированные, а добавить его в доверенные можно только на подконтрольных системах.

Исходная версия MumiyTroll, 26.09.14 16:14:

кто то говорит можно в squid3 запрещать https трафик, кто-то говорит что это надо делать через iptables

У сквида есть механизм для решения данной проблемы (но он, конечно, далеко не идеален) — ssl-bump. В режиме server-first сквид, получив запрос клиента, подключается к запрошенному серверу, получает его сертификат, генерит новый со всеми теми-же параметрами и подписывает его собственным сертификатом, а затем прикидывается целевым сервером для клиента и может контролировать доступ. Так вот чтобы это работало корректно, необходимо чтобы клиент доверял сертификату сквида, которым он подписывает самостоятельно сгенерированные, а добавить его в доверенные можно только на подконтрольных системах.