[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debain come gateway + squid

On 25/11/2016 19:31, Luciano Franchi wrote:
> Il 25/11/2016 07:33, Nicola Ferrari (#554252) ha scritto:
>> Se squid è autenticato e funziona in maniera non "transparent", non vedo
>> nessun problema ad usarlo anche per i siti HTTPS...
> non saprei, non mi sembra così banale: qui evidenziano diversi problemi:
> http://wiki.squid-cache.org/Features/HTTPS
> ma personalmente non li ho mai verificati perchè tengo l'HTTPS fuori
> dallo Squid:
> ho la sensazione che se l'https mi da un canale sicuro fra server web e
> client https,
> interrompere questo canale frapponendoci lo Squid sia un pò una
> contraddizione in termini.

Un attimo... non mi sono spiegato bene.

Non intendevo di "intercettare" il traffico HTTPS, cosa possibile
peraltro solo se squid è stato compilato con l'opzione SSL_Bump attiva,
e quello di debian non è così per default..

Ma bensì di far "transitare" la connessione HTTPS da squid attraverso
l'apposito metodo CONNECT, come recita la documentazione:
When a browser establishes a CONNECT tunnel through Squid, Access
Controls are able to control CONNECT requests, but only limited
information is available.

With HTTPS, *the above parts are present in encapsulated HTTP requests
that flow through the tunnel, but Squid does not have access to those
encrypted messages. *

La connessione HTTPS non viene spezzata, e per questo motivo, ad
esempio, nella richiesta https squid non infila il nome utente...

Poi di sicuro non è male anche l'idea di lasciare l'https fuori da
squid.. Io lo lascio "dentro" solo perchè mi fa comodo controllare anche
quelle connessioni attraverso le ACL di Squid (acl abbinate a gruppi, e
quant'altro).


Buon weekend!
N


-- 
+---------------------+
| Linux User  #554252 |
+---------------------+
Reply to: