On 25/11/2016 19:31, Luciano Franchi wrote: > Il 25/11/2016 07:33, Nicola Ferrari (#554252) ha scritto: >> Se squid è autenticato e funziona in maniera non "transparent", non vedo >> nessun problema ad usarlo anche per i siti HTTPS... > non saprei, non mi sembra così banale: qui evidenziano diversi problemi: > http://wiki.squid-cache.org/Features/HTTPS > ma personalmente non li ho mai verificati perchè tengo l'HTTPS fuori > dallo Squid: > ho la sensazione che se l'https mi da un canale sicuro fra server web e > client https, > interrompere questo canale frapponendoci lo Squid sia un pò una > contraddizione in termini.
Un attimo... non mi sono spiegato bene. Non intendevo di "intercettare" il traffico HTTPS, cosa possibile peraltro solo se squid è stato compilato con l'opzione SSL_Bump attiva, e quello di debian non è così per default.. Ma bensì di far "transitare" la connessione HTTPS da squid attraverso l'apposito metodo CONNECT, come recita la documentazione: When a browser establishes a CONNECT tunnel through Squid, Access Controls are able to control CONNECT requests, but only limited information is available. With HTTPS, *the above parts are present in encapsulated HTTP requests that flow through the tunnel, but Squid does not have access to those encrypted messages. * La connessione HTTPS non viene spezzata, e per questo motivo, ad esempio, nella richiesta https squid non infila il nome utente... Poi di sicuro non è male anche l'idea di lasciare l'https fuori da squid.. Io lo lascio "dentro" solo perchè mi fa comodo controllare anche quelle connessioni attraverso le ACL di Squid (acl abbinate a gruppi, e quant'altro). Buon weekend! N -- +---------------------+ | Linux User #554252 | +---------------------+