squid http-accelerator mode & ssl ?

Středa Leden 22 09:32:25 CET 2003

On Wed, Jan 22, 2003 at 06:52:52AM +0100, Kilian Igor wrote:

> prave toto je ten problem. Podla mojich vedomosti SSL spojenie nie je
> mozne rozpojit. Takze nastavenie squidu na http-accelerator mode je
> iba na http komunikaciu. Ci sa mylim? Vie mi niekto s urcitostou
> povedat ci to dokaze, alebo nie? Ak nie aky soft to dokaze? Existuje
> nieco take?

Ano: http://www.squid-cache.org/Doc/FAQ/FAQ-1.html#ss1.12

Spojeni rozpojit muzete, ale pak se certifikaty poji k tomu rozpojenemu
mistu. Tj. v postate si udelate tako man-in-the-middle attack :-)

Jinak receno - overovani certifikatu pomoci CA nebo vytahu (otisku) ma
prave zamezit tomuto chovani (ze nekdo spojeni zprostredkuje, rozsifruje
a vydava se za cil). Takze budete muset z toho akceleraturu udelat "jako
koncovy server (vcetne certifikatu)".

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/