Авторы проекта считают, что Squid не предназначен для https.

Но ведь это такая удобная штука, неужели на ней никак не настроить https блокировку?

А, на счёт блокировки и фильтрации не в курсе, возможно. Только говорю про кэширование и подстановку левых сертификатов - это разработчики не одобряют, где-то в email-рассылках было.

Только говорю про кэширование и подстановку левых сертификатов - это разработчики не одобряют, где-то в email-рассылках было.

Одобряют или нет, а функционал стабильно этот туда впиливают уже давно.

кто то говорит можно в squid3 запрещать https трафик, кто-то говорит что это надо делать через iptables

Что значить «запрещать»? Вообще запретить доступ наружу по HTTPS? Можно, конечно и сквидом, но iptables'ами проще. Ну и конечно пол-интернета отвалится.

Если же речь идёт о фильтрации, т.е. выборочно что-то запрещать, то тут есть только одна проблема — SSL вообще и HTTPS в частности были придуманы для того, чтобы никто между клиентом и сервером не мог ни прочитать трафик, ни, тем более, его изменить.

У сквида есть механизм для решения данной проблемы (но он, конечно, далеко не идеален) — ssl-bump. В режиме server-first сквид, получив запрос клиента, подключается к запрошенному серверу, получает его сертификат, генерит новый со всеми теми-же параметрами и подписывает его собственным сертификатом, а затем прикидывается целевым сервером для клиента и таким образом может контролировать доступ. Так вот чтобы это работало корректно, необходимо чтобы клиент доверял сертификату сквида, которым он подписывает самостоятельно сгенерированные, а добавить его в доверенные можно только на подконтрольных системах.

Если же речь идёт о фильтрации, т.е. выборочно что-то запрещать, то тут есть только одна проблема — SSL

Это речь о запрете: URL/bla-bla ? Или вообще https://vk.com - не возможно даже запретить в squid?

Или вообще https://vk.com - не возможно даже запретить в squid?

возможно и даже замечательно запрещается по acl dst равным подсетям вконтакте (или мейлру теперь)

acl dst равным подсетям вконтакте

То есть по голым ip только?

каким нафиг голым ip? прям в acl вписывай vk\.com

А, ну это ок тогда конечно. :) Не всё так плохо стало быть!

ssl-bump

Спасибо большое, буду капать в сторону ssl-bump! =)

Всем спасибо за участие!

Не разрешаешь метод CONNECT и всё, нету https.

Если речь о выборочной фильтрации - возможно, если у пользователь доверяет твоему ca(в доменной винде делается тривиально) и ты будешь подменять сертификат. squid вроде это умеет, подробностей не расскажу - никогда не пользовался. И вообще нехорошо это.