Como cache de dados SSL com o Squid

3

O que eu quero fazer:
Meu objetivo aqui é armazenar em cache os dados sendo transmitidos por SSL com o Squid - não apenas os dados transmitidos por HTTP. Os usuários não devem ser incomodados com erros de certificado SSL em todas as páginas da Web que eles acessam. O download de dados em cache por outros alunos precisa ser contínuo e indolor.

Por que eu quero fazer isso:
Por favor, dedique um momento e considere o caso de uso aqui antes de me espancar com as razões pelas quais isso é "contra SSL" e todos os outros tipos de atrocidades que li em muitos outros posts. Esta configuração destina-se a tornar o uso do Wifi muito mais rápido para uma pequena escola em um país estrangeiro com internet que não é muito rápida. Embora o armazenamento em cache de dados HTTP esteja acelerando significativamente o uso da Internet para os alunos, há cada vez mais tráfego sendo enviado por meio do SSL para o qual os alunos precisam de acesso mais rápido. Em suma, não é mais o caso de apenas email e banco serem transmitidos via SSL - conteúdo de vídeo como o Youtube e até arquivos de instalação são cada vez mais transmitidos via SSL (por exemplo, instalar arquivos para o Android Studio, IDE Arduino, Wireshark, FileZilla, etc .

O que tentei até agora:
Configure o pacote de Squid 0.4.36_2 no pfSense 2.3.3-RELEASE-p1. Configurar corretamente o armazenamento em cache, que funciona perfeitamente em sites HTTP. CA criada no pfSense em 'Sistema' - > 'Cert Manager' Instalou o SquidGuard usando a "Lista negra de Shalla" do link e o tráfego da Lista de permissões via todas as outras fontes.

  • Neste ponto, tudo estava funcionando corretamente - navegando de sistemas conectado via Wi-Fi sem qualquer alarido sobre certificados e cache de dados HTTP - mas o armazenamento em cache de dados HTTPS não funcionaria.
  • Como isso pode ser alcançado?
por Jaxian 08.04.2017 / 23:56

1 resposta

1

Se a coisa que você está tentando realizar seria possível sem um esforço extra da parte do cliente, o SSL seria inútil.

Um dos aspectos mais importantes do SSL é que ele garante que o terminal da conexão seja realmente o endpoint ao qual o cliente está tentando se conectar. O sistema de certificados garante isso.

Portanto, se você deseja ter um proxy SSL transparente implementado com o Squid, é necessário emitir um certificado autoassinado para ele e distribuí-lo aos usuários para que eles possam adicioná-lo aos certificados confiáveis dos navegadores. lista.

Esta é a única maneira de evitar os avisos de certificado nos navegadores de seus usuários.

Você também precisa deixar claro para seus usuários que o ícone SSL, neste caso, não significa realmente que a conexão é segura.

Se alguém tiver o requisito de ter uma conexão fim-a-fim segura, isso impossibilitará o armazenamento em cache.

    
por 09.04.2017 / 14:56