[FUG-BR] RES: squid 3.0 + https + ipfw passando pelos filtros
Luiz Otavio O Souza
luiz em visualconnect.com.br
Quarta Março 4 15:56:07 BRT 2009
> Se os clientes dele não se importarem do aviso de diferença de
> certificado,
> pode ser usado.
>
> Mas creio que se for qualquer coisa diferente de uma corporação, ex, ISP,
> internet condominial, etc, não é viável.
>>
>> Miguel Martins escreveu:
>> >
>> >> squid.conf "transparent", não funciona para 443 (https).
>> >>
>>
>> Funciona sim, favor ler o SSLBUMP [1].
>>
>> [1]. http://wiki.squid-cache.org/Features/SslBump
>>
Renato,
Na empresa, na rede que você tem controle (o que não acontece nos
provedores...) com a instalação do certificado da CA ou AC (autoridade
certificadora) no micro não haverá qualquer aviso sobre qualquer diferença.
simples assim.
Quando você instala um certificado de uma CA você passa a confiar em todos
certificados que ela assina, é o caso da verisign, certsign, etc.
Assim quando você instala o certificado do seu proxy nas estações todos os
certificados gerados lá serão aceitos como válidos (para qualquer domínio).
Você pode deixar uma entidade certificadora e passar a utilizar os serviços
de outra, quanto a isso não há segurança :)
Por isso essa questão da segurança de certificados é um pouco questionada, é
sempre uma reação em cadeia (caso haja algum vazamento de informação).
O sslbump faz exatamente isso, eu não conhecia, obrigado Marcio.
Luiz
Mais detalhes sobre a lista de discussão freebsd