鱿鱼ssl_bump server_first

Question

我正在尝试测试ssl_bump server_first Squid指令，但我不明白它是如何工作的。据我所知，ssl_bump指令有三种工作模式：

• 无: HTTPS流量未被截获，客户端直接与远程服务器连接，squid只转发通信量。
• 客户端优先:客户端通过SSL连接到Squid (因此在第一次连接时，用户必须接受Squid的SSL证书)，Squid连接到服务器，自动接受其SSL证书。(或者是否有只接受一些证书而拒绝其他证书的选择？)
• 服务器首先: Squid连接到服务器，它接受SSL证书，然后.？乌贼文件上写着：

首先与服务器建立安全连接，然后使用模拟的服务器证书与客户端建立安全连接。

“模拟服务器证书”是什么意思？Squid生成假证书复制(?)从远程服务器接收的那个？我试图设置一个ssl_bump server_first Squid，但是每次我连接到HTTPS站点时，浏览器都会警告我证书不匹配，如果我检查证书，我发现它总是在Squid安装过程中创建的证书.我不认为与“客户端第一”行为有任何区别.

我知道SSL拦截不是一个安全的过程，但是我正在探索这个特性，因为我可能被迫使用它.

提前谢谢你。

Answer 1

区别在于服务器优先和客户端优先是用户最终看到的错误消息(或看不到)。

对于客户端优先的SSL凸点，有三个问题：

1. 所提供的SSL证书与目标不匹配；例如，客户端看到SSL证书已颁发给proxy.yourdomain.com，但用户正在尝试访问www.securewebsite.com。他们的浏览器会警告他们。(坏)
2. SSL证书来自不受信任的证书颁发机构。他们的浏览器也会对此发出警告。(坏)
3. 如果服务器SSL证书有问题，就没有好的方法让客户端知道。当Squid发现有一个错误时(可能它已经过期了，不值得信任，对于错误的站点等等)。客户端已经有了一个“好的”SSL证书，并且认为它即将接收到真正的通信量。他们的浏览器不能警告他们。(也不好)

服务器-第一个SSL凸点消除了第一个和第三个问题。第二具遗骸。这是关于使用服务器优先ssl颠簸的推理的一个不错的资源.。它显然是在这个特性还在开发的时候写的，所以不要让将来时态迷惑你。

由于您自己生成了证书，而且任何人都可以自己生成证书，因此仅仅拥有证书并不意味着通信是安全的。证书必须来自您信任的颁发机构。默认情况下，浏览器带有受信任证书颁发机构的列表。那些CA为他们出售的证书提供担保，这就是你的计算机如何信任证书的方式。

解决此问题的方法是，您必须告诉您的计算机信任用于ssl碰撞的证书。对于不同的OSes，程序是不同的。对于windows客户端，您可以通过GPO将其推送出去，对于移动设备，您可以使用MDM等方式将其推送出去。

仅用于测试(在windows中)，您可以右键单击证书并选择安装。穿过巫师。与其让windows选择放置证书的位置，不如浏览并选择受信任的根证书颁发机构。一旦您这样做，您的计算机将信任由您的squid ssl-bump服务器生成的任何证书。