LINUX.ORG.RU

История изменений

Исправление Kuzz, (текущая версия) :

Эта конструкция нормально не работает. Возможно в 3.5 получится, но я пока что не пробовал.

Проблема в том, что http://www.gmail.com и mail.google.com это один и тот сервер. Сертификат там на mail.google.com.

Т.к. браузер сам резолвит имя, то сквид вначале получает только айпишник (потому и срабатывают правила с 'dst'), а чтоб получить от браузера запрос, нужно уже отдавать сертификат.
В результате, с gmail.com, yadi.sk (такая же проблема) траблы.
Собственно, в доках и написано о такой ситуации (ворнинг) http://www.squid-cache.org/Doc/config/sslproxy_cert_adapt/

'sslproxy_cert_error allow mism_cert' - разрешает ошибки в сертификатах для acl mism_cert
sslproxy_cert_adapt setCommonName{*.gmail.com} - в генерируемом сертификате пропишет то, что в {}
sslproxy_cert_adapt setCommonName ssl::certDomainMismatch - пропишет то, что сам сквид считает правильным. В качестве acl проверяется наличие именно этой ошибки.

Исправление Kuzz, :

Эта конструкция нормально не работает. Возможно в 3.5 получится, но я пока что не пробовал.

Проблема в том, что http://www.gmail.com и mail.google.com это один и тот сервер. Сертификат там на mail.google.com.

Т.к. браузер сам резолвит имя, то сквид вначале получает только айпишник (потому и срабатывают правила с 'dst'), а чтоб получить от браузера запрос, нужно уже отдавать сертификат.
В результате, с gmail.com, yadi.sk (такая же проблема) траблы. Собственно, в доках и написано о такой ситуации (ворнинг) http://www.squid-cache.org/Doc/config/sslproxy_cert_adapt/

'sslproxy_cert_error allow mism_cert' - разрешает ошибки в сертификатах для acl mism_cert sslproxy_cert_adapt setCommonName{*.gmail.com} - в генерируемом сертификате пропишет то, что в {} sslproxy_cert_adapt setCommonName ssl::certDomainMismatch - пропишет то, что сам сквид считает правильным. В качестве acl проверяется наличие именно этой ошибки.

Исходная версия Kuzz, :

Эта конструкция нормально не работает. Возможно в 3.5 получится, но я пока что не пробовал.

Проблема в том, что http://www.gmail.com и mail.google.com это один и тот сервер. Сертификат там на mail.google.com.

Т.к. сам резолвит имя, то сквид вначале получает только айпишник (потому и срабатывают правила с 'dst'), а чтоб получить от браузера запрос, нужно уже отдавать сертификат.
В результате, с gmail.com, yadi.sk (такая же проблема) траблы. Собственно, в доках и написано о такой ситуации (ворнинг) http://www.squid-cache.org/Doc/config/sslproxy_cert_adapt/

'sslproxy_cert_error allow mism_cert' - разрешает ошибки в сертификатах для acl mism_cert sslproxy_cert_adapt setCommonName{*.gmail.com} - в генерируемом сертификате пропишет то, что в {} sslproxy_cert_adapt setCommonName ssl::certDomainMismatch - пропишет то, что сам сквид считает правильным. В качестве acl проверяется наличие именно этой ошибки.