SQUID stare and bump, HSTS

0

1

Почитал это http://wiki.squid-cache.org/Features/SslPeekAndSplice

Пытаюсь заставить SQUID не подменять сертификат для некоторых сайтов. Если написать так, то splice работает (я могу зайти на ЛОР), но bump не срабатывает - при открытии других сайтов ничего не происходит в cache.log и access.log тоже ничего не добавляется.

https_port 10.0.0.1:3129 cert=/etc/squid3/squid.pem ssl-bump intercept
sslcrtd_program /lib/squid3/ssl_crtd -s /etc/squid3/ssl_db -M 4MB
sslproxy_cert_error allow all
acl step1 at_step SSLBump1
ssl_bump stare step1
acl hsts_except ssl::server_name .linux.org.ru
ssl_bump bump !hsts_except
ssl_bump splice all
sslproxy_flags DONT_VERIFY_PEER

В документации написано, что при использовании stare проблемы должны быть как раз со splice, а вот bump должен 100% работать.

Подмена сертификатов нужна для вырезания мультимедиа из соцсетей. Но с подменой не работает например mail.yandex. Как побороть HSTS? Может можно поправить заголовок каким-то редиректором и браузер примет сертификат от SQUID?

Ссылка

←	OpenVZ: проблема с --exclude-path при резервном копировании контейнера

Автоматическое монтирование диска при его подключении

→

Так заходит с подменой сертификата даже туда, куда раньше было нельзя (yandex, google, linux.org.ru)

https_port 10.0.0.1:3129 cert=/etc/squid3/squid.pem generate-host-certificates=on ssl-bump intercept
always_direct allow all
sslcrtd_program /lib/squid3/ssl_crtd -s /etc/squid3/ssl_db -M 4MB
sslproxy_cert_adapt setCommonName ssl::certDomainMismatch all
sslproxy_cert_error allow all
acl step1 at_step SslBump1
ssl_bump stare step1
ssl_bump bump all

Если убрать stare и использовать просто bump all, то ругается на HSTS.

В общем проблема кажется решена. По крайней мере пока.

murderer
(03.02.17 14:15:10 MSK) автор топика