Proxy transparente e HTTPS com squid

Um proxy transparente, por definição, fica man-in-the-middle. O cliente não sabe que o proxy existe e envia suas solicitações para sites baseados em SSL como TCP SYNs para a porta de destino 443.

Se você especificar o proxy explicitamente, o cliente usará o verbo CONNECT (já que sabe que há um proxy sendo usado), no qual as ACLs (listas de controle de acesso) do Squid podem agir.

Nenhum proxy transparente pode aplicar de maneira confiável o controle de acesso sem executar o intermediário. O melhor que você pode esperar seria atuar sobre o endereço IP de destino que, francamente, só vai lhe dar dores de cabeça, porque você precisará manter constantemente a lista de IPs.

Como Evan Anderson disse em sua resposta, se você definir manualmente o proxy nos navegadores, eles farão os HTTPs passarem pelo proxy (usando as solicitações CONNECT) e, como o nome do host nessas solicitações é enviado sem criptografia, você poderá aplique ACLs a ele.

No entanto, atualmente não há nada que force os clientes a usar seu proxy; portanto, embora você não possa torná-lo transparente, você pode bloquear todas as conexões HTTP / HTTPS diretas e informar aos usuários que eles devem usar o proxy navegue na web.

Nós implementamos a filtragem HTTPS com o cache do squid usando o SNI. Funciona bem no modo SSL transparente. As ACLs também são implementadas. Nós integramos o squid box com o Cisco ASA como servidor WCCP e o seu em produção.