Что я хочу сделать:
Моя цель здесь - кэшировать данные, передаваемые через SSL с помощью Squid, а не только данные, передаваемые через Http. Пользователи не должны беспокоиться об ошибках сертификата SSL на каждой странице Https, которую они касаются. Загрузка данных, кэшированных другими студентами, должна быть простой и безболезненной.
Почему я хочу это сделать:
Пожалуйста, найдите момент и рассмотрите вариант использования здесь, прежде чем вы все забьете меня причинами, почему это «против SSL» и всех других видов злодеяний, о которых я читал во многих других сообщениях. Эта установка предназначена для ускорения использования Wi-Fi в небольшой школе в другой стране с не очень быстрым интернетом. Хотя кэширование данных HTTP значительно ускоряет использование Интернета учащимися, по SSL отправляется все больше и больше трафика, к которому учащимся требуется более быстрый доступ. Короче говоря, больше не так, что только электронная почта и банковские операции передаются через SSL - видеоконтент, такой как Youtube, и даже установочные файлы в настоящее время все чаще передаются через SSL (например, установочные файлы для Android Studio, Arduino IDE, Wireshark, FileZilla и т. Д. .).
Что я пробовал до сих пор:
Установите пакет Squid 0.4.36_2 в pfSense 2.3.3-RELEASE-p1. Правильно настроить кеширование, которое безупречно работает на Http-сайтах. Создал CA в pfSense в разделе «Система» -> «Cert Manager». Установил SquidGuard, используя «Черный список Шаллы» из http://www.shallalist.de, а также занесенный в белый список трафик из всех остальных источников.
Если то, что вы пытаетесь выполнить, будет возможно без дополнительных усилий со стороны клиентов, тогда SSL будет бесполезен.
Одним из наиболее важных аспектов SSL является то, что он гарантирует, что конечная точка соединения действительно является конечной точкой, к которой пытается подключиться клиент. Система сертификатов гарантирует это.
Итак, если вы хотите иметь прозрачный SSL-прокси, реализованный с помощью Squid, вам необходимо выпустить для него самозаверяющий сертификат, а затем распространить сертификат среди ваших пользователей, чтобы они могли добавить его в список доверенных сертификатов своих браузеров.
Это единственный способ избежать предупреждений о сертификатах в браузерах ваших пользователей.
Вам также необходимо дать понять своим пользователям, что значок SSL в этом случае на самом деле не означает, что соединение является безопасным.
Если у кого-то есть требование иметь безопасное сквозное соединение, это делает невозможным кэширование между ними.