[Techinfo] pfsense squid3 squidguard
Horváth Péter
justicefriend at freemail.hu
2018. Feb. 28., Sze, 13:25:25 CET
2018.02.28. 12:52 keltezéssel, Fehér Sándor írta:
> >Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
> veblapokat, vagy csak szűrni tudja?
> MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a
> forgalomra.
> Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a
> forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha
> ott sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és
> cache nélkül.
>
Köszönöm, már értem
> >Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
> bejelentkezek a netbankba, miközben "man in the middle" van:)
> Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy
> elfogadod a hibás tanusítványt + importáltad root CA ként a proxy
> tanúsítványt. A böngésző szót fogad ennyi:
> A bank és a proxy között teljesen megbízható ssl kapcsolat van>>>
> "ennyit lát a bank"
> A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a
> banktól jövő forgalmat, amit elküld neked.
> A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy
> hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható
> legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne
> működjön a bank oldal??
>
Beraktam az otpdirect.hu -t a whitelist-be, így már mindjárt más a zöld
lakat- nem én ellenőriztem, hanem a digicert :)
> SSL proxynak véleményem szerint nincs értelme, ha mindent "splice"
> olni akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki
> oldalakat, paypal stb nem akarod MITM-elni, de a többit igen.
> Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg
> BUMP. stb.
Én csak a tanulói gépekkel fogom ezt csinálni, akkora sikítás van, ha
valami nem jön be:)
További információk a(z) Techinfo levelezőlistáról