2018.02.28. 12:52 keltezéssel, Fehér Sándor írta:
>Csak még mindíg azt nem tudom hogy squid3 cacheeli is a https
veblapokat, vagy csak szűrni tudja?
MITM (ssl bump) esetén cachelni is tudja mert teljesen rálát a
forgalomra.
Splice esetén NEM. Akkor az ssl tunnel miatt a squid nem látja a
forgalmat és nem tud cachelni sem. Ez úgy kell felfogni, hogy mintha
ott sem lenne a proxy, csak átmegy rajta minden ssl forgalom szűrés és
cache nélkül.
Köszönöm, már értem
>Azért az gáz hogy saját gyártású (hamis) tanusítvánnyal simán
bejelentkezek a netbankba, miközben "man in the middle" van:)
Normális működés, ugyanis te kivételt adtál a rendszeredhez, hogy
elfogadod a hibás tanusítványt + importáltad root CA ként a proxy
tanúsítványt. A böngésző szót fogad ennyi:
A bank és a proxy között teljesen megbízható ssl kapcsolat van>>>
"ennyit lát a bank"
A proxy meg röptében generál egy tanúsítványt és azzal titkosítja a
banktól jövő forgalmat, amit elküld neked.
A böngésző meg először hisztizik, de ha kivételt adsz hozzá + a proxy
hitelesítő tanúsítványt is importálod a rendszerbe mint "megbízható
legfelső szintű hitelesítési szolgáltató" akkor miért nem kéne
működjön a bank oldal??
Beraktam az otpdirect.hu -t a whitelist-be, így már mindjárt más a zöld
lakat- nem én ellenőriztem, hanem a digicert :)
SSL proxynak véleményem szerint nincs értelme, ha mindent "splice"
olni akarsz. Ez arra van, hogy kivételeket adj a proxydhoz: banki
oldalakat, paypal stb nem akarod MITM-elni, de a többit igen.
Vagy a rendszergazdának minden ssl háborítatlan, a többieknek meg
BUMP. stb.
Én csak a tanulói gépekkel fogom ezt csinálni, akkora sikítás van, ha
valami nem jön be:)
_______________________________________________
Techinfo mailing list
Techinfo@lista.sulinet.hu
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/