Re: squid incept https

[Artem Chuprina <ran@lasgalen.net>]

Леонид Кальмаев -> debian-russian@lists.debian.org  @ Thu, 27 Aug 2015 10:21:50 +0600:

 ЛК> Руслан, Я просил помощи в реализации именно этого решения. Есть
 ЛК> поставленная задача резать всё что не угодно руководству. И это не дыра в
 ЛК> безопасности а нормальное решение для ограничения трафика.

Так, к слову.  Это дыра не в безопасности, а в приватности.  И сильно
подозреваю, что без надлежащего юридического оформления за это можно
ответить по закону.  И отвечать будет в первую очередь тот, кто
реализовал решение.  Опять же, у него меньше денег на адвоката...

Это безотносительно к технической стороне ситуации, в которой я в данном
случае не разбираюсь.  Но поведение браузера похоже на "загрузить
страницу с невалидным сертификатом как-то уговорили, а про стили и
картинки он и не спросил, просто молча отказался грузить".  Я бы
все-таки более внимательно посмотрел на то, как конфигурируется ситуация
с подменой сертификата (в этом случае сертификат все же надо установить)
и как - без (чистый туннель).  Я бы не исключил, что конфигурируются они
существенно по-разному, а не "просто отключить ssl_bump".