Bonjour, pour info, je n'ai pas utilisé squid + squidguard qui ne me permettait pas de faire du filtrage en mode transparent.
Comme je n'ai rien trouvé d'existant en open-source pour faire du filtrage en mode transparent, j'ai développé un outil open-source pour se faire : https://github.com/luigi1809/webfilter-ng Les flux ne sont pas déchiffrés - pas besoin donc d'installer de certificats racines sur la machine. Le filtrage https est basé sur le tag SNI de TLS et non sur les certificates name CN. Louis Le ven. 25 mai 2018 à 17:06, Félix Bouynot <felix.bouy...@setenforce.one> a écrit : > Bonjour, > > Avec Squid c'est 3 lignes : > > acl DiscoverSNIHost at_step SslBump1 > ssl_bump peek DiscoverSNIHost > ssl_bump splice all > > Tu lis le nom de domaine puis tu tunnelles. (le strict minimum donc, tu > casses rien même en cas de HSTS+HPKP, tu espionnes rien d'autre que le > nom de domaine) > Pour le filtrage t'as plus qu'à suivre un tutoriel squidguard. > > Félix > > Le vendredi 25 mai 2018 à 15:58 +0200, Louis a écrit : > > Bonjour, > > > > je cherche une solution open-source pour faire du filtrage https par > > Certificate Name (transmis en clair par le serveur à l'établissement de > la > > session) à base de blacklist. > > > > Je vois que fortigate propose quelque chose du genre (sans gestion de > > blacklist à première vue): > > > > http://kb.fortinet.com/kb/viewContent.do?externalId=FD31710 (solution > 1). > > > > Je cherche idéalement à faire ça avec squid et squidguard. > > > > merci de votre aide! > > > > Louis > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
