squid http-accelerator mode & ssl ?
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Úterý Leden 21 22:01:50 CET 2003
On Tue, 21 Jan 2003, Kilian Igor wrote:
> Prajem vsetkym prijemny den. Da sa spravit
> bez packet forwardingu nieco taketo:
"Packet forwardingem" se mini to, ze proxy prichozi spojeni prepoji
na skutecny server, ale adresu klienta ponecha stejnou?
> - prihlasi sa niekto na port 443 (https)
> - dany server mu sprostredkuje spojenie
> na uplne iny https server, ale on ako klient
> sa o tom nedozvie a ani nevie o tom kam to vlastne
> ide.
Jsou-li splneny nasledujici podminky:
1. server nesmi nabonzovat jim pozorovanou adresu klienta, nebo musi
byt zarizeno, aby videl adresu skutecneho klienta
2. server nesmi vyzadovat klientske certifikaty na urovni SSL/TLS
(nebo musi byt mezi skutecnym serverem a skutecnym klientem
jedno neprerusene SSL/TLS spojeni, ale to by trochu popiralo smysl
toho akceleratoru)
3. klient musi od proxiny dostat certifikat, ktery odpovida adrese
(jmenu), na ktere se pripojuje
pak to lze.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux