Назад | Перейти на главную страницу

Кальмар ssl_bump server_first

Я пытаюсь протестировать директиву ssl_bump server_first Squid, но не понимаю, как она работает. Насколько я понял, директива ssl_bump имеет три режима работы:

Нет: HTTPS-трафик не перехватывается, клиент напрямую подключается к удаленному серверу, squid только перенаправляет трафик.
Сначала клиент: клиент подключается к Squid через SSL (поэтому при первом подключении пользователь должен принять сертификат SSL Squid), а Squid подключается к серверу, автоматически принимая его сертификат SSL. (Или есть варианты принять только одни сертификаты и отказаться от других?)
Сначала сервер: Squid подключается к серверу, принимает сертификат SSL, затем ...? В документации по Squid сказано:

Сначала установите безопасное соединение с сервером, а затем установите безопасное соединение с клиентом, используя имитированный сертификат сервера.

Что означает «имитация сертификата сервера»? Squid производит поддельный сертификат, копирующий (?) Полученный с удаленного сервера? Я попытался настроить ssl_bump server_first Squid, но каждый раз, когда я подключаюсь к сайту HTTPS, браузер предупреждает меня о несовпадении сертификатов, и если я проверяю сертификат, я вижу, что это всегда один и тот же сертификат, созданный во время установки Squid. .. Тогда я не вижу разницы в поведении "Сначала клиент" ...

Я знаю, что перехват SSL - небезопасная процедура, но я изучаю эту функцию, потому что меня могут заставить ее использовать ...

Заранее спасибо.

Разница между server-first и client-first заключается в том, какое сообщение об ошибке пользователь видит (или не видит).

При использовании SSL по принципу «сначала клиент» возникают три проблемы:

Представленный сертификат SSL не соответствует месту назначения; например Клиент видит, что сертификат SSL выдан для proxy.yourdomain.com, но пользователь пытается посетить www.securewebsite.com. Их браузер предупредит их об этом. (плохой)
Сертификат SSL получен из ненадежного центра сертификации. Их браузер тоже предупредит их об этом. (плохой)
Если есть проблема с SSL-сертификатом сервера, нет хорошего способа сообщить об этом клиенту. К тому времени, когда Squid обнаруживает ошибку (возможно, срок ее действия истек, она не заслуживает доверия, для неправильного сайта и т. Д.), Клиент уже имеет «хороший» SSL-сертификат и думает, что вот-вот получит реальный трафик. Их браузер не может предупредить их об этом. (тоже плохо)

Повышение уровня SSL до сервера устраняет первую и третью проблемы. Остается второй. Вот достойный ресурс, посвященный аргументам в пользу использования ssl bumping сначала на сервере. Очевидно, он был написан, когда функция еще только разрабатывалась, поэтому не позволяйте будущему времени сбивать вас с толку.

Поскольку вы сами создали сертификат, и любой может создать сертификат самостоятельно, наличие сертификата еще не означает, что обмен данными безопасен. Сертификат должен быть от эмитента, которому вы доверяете. Браузеры по умолчанию поставляются со списком доверенных центров сертификации. Эти центры сертификации подтверждают сертификаты, которые они продают, и именно так ваш компьютер узнает, что сертификаты можно доверять.

Решение этой проблемы состоит в том, что вы должны указать своему компьютеру доверять сертификату, который вы используете для ssl-bumping. Процедура разная для разных ОС. Для клиентов Windows вы можете отправить что-то через GPO, для мобильных устройств - с помощью MDM и т. Д.

Просто для тестирования (в Windows) вы можете щелкнуть сертификат правой кнопкой мыши и выбрать установку. Пройдите через мастера. Вместо того, чтобы позволять окнам выбирать, куда поместить сертификат, просмотрите и выберите Доверенные корневые центры сертификации. Как только вы это сделаете, ваш компьютер будет доверять любому сертификату, сгенерированному вашим ssl-bump сервером squid.