Блог

Главная - Вопросы по программированию - Поддерживает ли прокси-сервер squidman https?

Поддерживает ли прокси-сервер squidman https?

#macos #proxy #squid

#macos #прокси #squid

Вопрос:

Я пытаюсь настроить прокси-сервер на моем локальном компьютере Mac.

http — кажется, работает.

Но Safari не подключается через https.

Я что-то пропустил?

Ответ №1:

Нет, это не так. Вам необходимо указать отдельный порт https и ssl-сертификат, как указано в конфигурации squid:

Адрес сокета, по которому Squid будет прослушивать запросы клиентов, сделанные через TLS или SSL-соединения. Обычно называется HTTPS.

Это наиболее полезно в ситуациях, когда вы запускаете squid в режиме ускорителя и хотите выполнять работу TLS на уровне ускорителя.

Вы можете указать несколько адресов сокетов в нескольких строках, каждый со своим собственным сертификатом и / или параметрами.

Параметр tls-cert= является обязательным для портов HTTPS.

Список режимов и опций см. в разделе http_port.

http://www.squid-cache.org/Doc/config/https_port/

По замыслу перехватить трафик https довольно сложно:

Когда браузер создает прямое безопасное соединение с исходным сервером, запросов на HTTP-соединение нет. Первый HTTP-запрос, отправленный по такому соединению, уже зашифрован. В большинстве случаев Squid не работает: Squid ничего не знает об этом соединении и не может блокировать или прокси-сервер этот трафик.

Вам также необходимо загрузить настройки прокси-сервера для браузера в виде файла PAC, иначе браузеры не будут подключаться или выдавать предупреждение о сертификате:

Chrome Браузер Chrome может подключаться к прокси-серверам через SSL-соединения, если он настроен на использование одного из них в файле PAC или переключателе командной строки. Настройка графического интерфейса кажется невозможной (пока).

Более подробная информация на http://dev.chromium.org/developers/design-documents/secure-web-proxy

Firefox Браузер Firefox 33.0 может подключаться к прокси-серверам через TLS-соединения, если он настроен на использование прокси-сервера в файле PAC. Настройка графического интерфейса кажется невозможной (пока), хотя есть взлом конфигурации для встраивания логики PAC.

Все еще открыта важная ошибка:

Использование аутентификации по сертификату клиента для прокси-сервера: https://bugzilla.mozilla.org/show_bug.cgi?id=209312

https://wiki.squid-cache.org/Features/HTTPS