O envio de SSL funciona com o proxy pai? squid e pf são configurados assim:
squid.conf :
http_port 3128 intercept
https_port 3129 intercept ssl-bump generate-host-certificates=on key=/usr/local/etc/squid/ssl/squid.key cert=/usr/local/etc/squid/ssl/squid.pem
sslproxy_flags DONT_VERIFY_PEER
sslproxy_cert_error allow all
ssl_bump client-first none
ssl_bump server-first all
cache_peer proxy.office.com parent 8080 0 login=user:password
pf.conf
rdr pass on lo0 proto tcp from any to any port 80 -> 127.0.0.1 port 3128
rdr pass on lo0 proto tcp from any to any port 443 -> 127.0.0.1 port 3129
pass out on en0 route-to lo0 inet proto tcp from any to any port 80 keep state
pass out on en0 route-to lo0 inet proto tcp from any to any port 443 keep state
squid versão:
Squid Cache: Version 3.2.9
configure options: '--disable-debug' '--disable-dependency-tracking' '--prefix=/usr/local/Cellar/squid/3.2.9' '--localstatedir=/usr/local/var' '--enable-ssl' '--enable-ssl-crtd' '--disable-eui' '--enable-ipfw-transparent' 'CC=cc' 'CXX=c++' 'PKG_CONFIG_LIBDIR=/usr/lib/pkgconfig:/usr/local/Library/ENV/pkgconfig/10.8'
Tudo funciona bem para HTTP, mas as conexões HTTPS aumentam 1372080519.323 0 172.17.244.135 NONE/400 3998 NONE error:invalid-request - HIER_NONE/- text/html em cache.log . O proxy pai funciona se configurado como proxy HTTPS nos navegadores.
Precisa de 3 linhas lá:
http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump...
Aponte o proxy HTTP e SSL do seu navegador para 3128 e isso deve funcionar. Sempre que recebe um pedido CONNECT seguro, desce a linha até 3130 para https. Nenhuma outra entrada de firewall necessária, já que é toda interna com o squid.