Em 15 de maio de 2012 17:35, Otavio Augusto <[email protected]> escreveu: > Em 15 de maio de 2012 17:28, João Mancy <[email protected]> escreveu: >> @Dalton >> >> Você está correto. >> >> a 443 comunica diretamente não pode ser "decriptografada" ( na teoria ). >> >> Sendo que o proxy transparente não bloqueia tal porta. >> >> Basta adicionar um https://facebook.com que ele passará. >> >> é um problema complexo ( não sei se é isso que você quer ). >> >> Li sobre colocar algo forjando certificado ssl , mas aí suas senhas >> aparecerão "plain-text" no proxy - uma tremenda falha de segurança. >> >> Gostei do assunto , a uns 3 meses procuro uma solução para isso. >> >> abraço >> >> >> Em 15 de maio de 2012 17:23, Dalton Ferreira Strauss Filho < >> [email protected]> escreveu: >> >>> >>> >>> -------- Mensagem original -------- >>> De: Sylvio César Teixeira Amorim <[email protected]> >>> Reply-to: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >>> <[email protected]> >>> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) >>> <[email protected]> >>> Assunto: Re: [FUG-BR] Squid como Proxy Reverso SSL fazendo cache de >>> https >>> Data: Tue, 15 May 2012 17:21:17 -0300 >>> >>> >>> Em 15 de maio de 2012 17:11, Eduardo Schoedler <[email protected]> >>> escreveu: >>> > Em 15 de maio de 2012 16:59, Sylvio César Teixeira Amorim < >>> > [email protected]> escreveu: >>> > >>> >> Senhores, >>> >> >>> >> Boa tarde, não sou especialista em squid, mas estou precisando >>> >> saber algumas coisas tais como: >>> >> >>> >> - É possível realizar cache da porta 443 utilizando o squid como proxy >>> >> reverso SSL? >>> >> - Qual a vantagem de se fazer proxy reverso SSL caso o squid não faça >>> >> cache de SSL? >>> >> - É possível startar duas instâncias do squid, sendo que a segunda >>> >> instância seja um squid.conf com https_port fazendo proxy reverso SSL? >>> >> Isto é porque as estações de trabalho do ambiente aqui, tem dois >>> >> perfis de firefox (um perfil no firefox comum, e outro por meio de uma >>> >> aplicação web que utiliza a porta 443) por este motivo que seria >>> >> implantado duas instâncias de squid. >>> >> A pergunta que não quer calar, se o squid não fizer cache de SSL como >>> >> proxy reverso SSL, qual a vantagem de se utilizar o squid como proxy >>> >> reverso SSL? >>> >> >>> > >>> > Não sei quanto ao SSL, mas dê uma olhadinha no Varnish. >>> > >>> > Sds, >>> > >>> > -- >>> > Eduardo Schoedler >>> > ------------------------- >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> O SSL é o ponto chave, preciso realmente saber isto em cima do squid, >>> se ele configurado como proxy reverso SSL consegue fazer cache das >>> páginas SSL. >>> >>> Abs, >>> >>> Sylvio >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >>> >>> Acredito que não seja possível, já que o SSL seria entre cliente e >>> servidor e isto possibilitaria um ataque de MITM (man-in-the-midle). >>> >>> Atenciosamente, >>> Dalton Strauss >>> ------------------------- >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >>> >> >> >> >> -- >> João Luis Mancy dos Santos >> joaocep at gmail.com (msn too) >> http://joaocep.blogspot.com >> http://www.istf.com.br/perguntas/ >> http://www.fug.com.br/content/view/20/69/ >> uin 82889044 >> ------------------------- >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Você poderia usar o squid junto com o apache. > Na máquina onde vai rodar o site/app fica sem ssl mas se comunica > apenas com a máquina que tem o squid+apache. > Na outra máquina voce instala o certificado no apache e configra ele > como reverse proxy para o site/app em questão, mas ao inves de ele se > comunicar com a outra máquina ele vai direcionar as requisições para o > squid ou o Varnish que por sua vez faz requisição para o pc que roda o > site/app. > Fica ou um pouco complexo mas deve funcionar. > Lembrando que nunca implementei isto mas em teoria resolve. > > > -- > Otavio Augusto > --------------------- > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Pois é galera, aqui no trabalho, levantaram a ideia de que colocando um proxy reverso SSL, a porta 443 seria cacheada e os formulários como .css, .js, etc.. seriam cacheados no squid sendo utilizado desta forma e isto aceleraria a resposta do site para o usuário. Eu discordei, falei que desconheço qualquer funcionalidade do squid que consiga realizar cache de sites SSL. Buscando no site do squid, encontrei esta parte: http://wiki.squid-cache.org/ConfigExamples/Reverse/SslWithWildcardCertifiate Onde é possível colocar os certificados para serem gerenciados pelo squid, mas até onde entendi, ele não faz cache de SSL, e sim dá a vantagem de se ter um tipo de redundância em sites SSL que serão "protegidos" pelo squid, mas não faria cache de SSL. Será que é isto mesmo? Se for, porque utilizaria um proxy reverso SSL para acelerar a conexão se ele não fizer cache de SSL? Abs, Sylvio ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
