OpenForum RSS: Squid ssl_bump и безопасность. https://www.opennet.ru/openforum/vsluhforumID12/7226.html Допустим, в целях безопасности есть необходимость в фильтрации ssl трафика и мы решаем использовать ssl_bump на Сквиде. Генерим ключевую пару с самоподписанным сертификатом и добавляем наш CA сертификат во всё что можно на юзерских машинах. При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться на наши левые сертификаты и строка адреса всегда будет "зелёной". И тут наш пользователь заходит на фишинговый HTTPS ресурс с левым сертификатом...<br>Вопрос в том, как себя поведёт при этом Squid - он сгенерит ключевую пару для запрашиваемого домена с помощью своей ключевой пары и пользователь увидит "зелёный замочек", подумает, что всё ОК и попытается расплатится на нём своей платёжной картой (со всеми вытекающими) или всё-таки есть возможность, к примеру подключить к ssl_bump CAbundle (например https://raw.githubusercontent.com/bagder/ca-bundle/master/ca-bundle.crt), настроить запросы к CRL/OCSP, включить проверку валидности сертификата сайта и, в случае невозможности проверки, допустим пер Squid ssl_bump и безопасность. (pavlinux) https://www.opennet.ru/openforum/vsluhforumID12/7226.html#4 Wed, 11 Nov 2015 02:24:49 GMT &gt; А с чего бы не быть зеленым? <br><br>Ну попробуй с ssl_bump зайти на фейсбук. <br>А ещё весело, когда SSL сайт делает кроссдоменные коннекты на обычный HTTP.<br>А еще если кросс домены и один из них с "недоверенным" сертом, зелёнка сразу исчезает.<br>И ваще веселуха, если зоопарк из всего перечисленного и сервак в CDN :D <br> <br> Squid ssl_bump и безопасность. (Мясо) https://www.opennet.ru/openforum/vsluhforumID12/7226.html#3 Tue, 10 Nov 2015 22:26:08 GMT RTFM, параметр sslproxy_cert_error - http://www.squid-cache.org/Doc/config/sslproxy_cert_error/<br> Squid ssl_bump и безопасность. (Мясо) https://www.opennet.ru/openforum/vsluhforumID12/7226.html#2 Tue, 10 Nov 2015 22:16:19 GMT А с чего бы не быть зеленым? У Вас в картинке "не зеленый" потому что используется (уже) ненадежный SHA1.<br> Squid ssl_bump и безопасность. (pavlinux) https://www.opennet.ru/openforum/vsluhforumID12/7226.html#1 Mon, 09 Nov 2015 23:51:33 GMT &gt; При этом, при заходе на HTTPS ресурсы, пользовательские браузеры не будут ругаться <br>&gt; на наши левые сертификаты и строка адреса всегда будет "зелёной". <br><br>Кто те сказал, что они будут зелёные? <br><br>http://i75.fastpic.ru/big/2015/1110/b4/5168018fb85971d9b305e5249331eeb4.png<br>