Có cách nào để lưu trữ các yêu cầu HTTPS trong máy chủ proxy không?

Chúng tôi đang sử dụng máy chủ proxy Squid trong môi trường của chúng tôi và chúng tôi muốn lưu trữ các yêu cầu HTTPS.

Có cách nào để cấu hình Squid hoặc nói chung một máy chủ proxy để lưu trữ các yêu cầu HTTPS không?

Có một cách để làm điều đó, nhưng về cơ bản là chống lại các lý do sử dụng HTTPS.

Đây là cách bạn làm điều đó.

1. Tạo Chứng chỉ SSL tự ký cho trang web bạn muốn chặn và lưu trữ các yêu cầu từ đó.
2. Cài đặt và chạy stunnel trên máy chủ proxy của bạn, nói với nó rằng chứng chỉ mà nó sẽ xuất hiện là chứng chỉ được tạo trong giai đoạn 1.
3. Có stunnel chuyển tiếp các yêu cầu được giải mã để mực.
4. Bạn có thể cần phải có stunnel ở phía bên kia, hoặc openssl_client để mã hóa lại yêu cầu đến máy chủ ngược dòng.

Hãy cẩn thận:

1. Người dùng của bạn sẽ ghét bạn. Mỗi yêu cầu SSL đến trang web đó sẽ xuất hiện một cửa sổ chứng chỉ không hợp lệ.
2. Bạn đang phơi mình trước những vụ kiện tiềm năng để làm những việc nghịch ngợm. (IANAL)
3. Bạn sẽ chỉ có thể có được một chứng chỉ tự ký hoạt động cho việc này, bởi vì cách web tin cậy PKI cho Chứng chỉ SSL được cho là hoạt động. Không nói gì về các CA gốc bị xâm nhập.

Tôi sẽ không cung cấp cho bạn chi tiết chính xác về cách thực hiện việc này, vì a) Tôi nghĩ rằng điều đó hơi phi đạo đức và b) Tốt hơn là bạn nên học cách làm nó.

Tôi đề nghị bạn nghiên cứu cách hoạt động của stunnel và man-in-the-middle.

Chỉ cần giải thích lý do tại sao điều này không thể được thực hiện mà không có MITM - một proxy chỉ nhìn thấy tên DNS của máy chủ mà bạn muốn kết nối khi sử dụng HTTPS được mã hóa. Nó không thấy URL, cũng không có bất kỳ tiêu đề phản hồi nào. Nó không thể xác định tài nguyên cá nhân nào bạn đang truy cập trên một trang web, liệu nó có thể được lưu trong bộ nhớ cache hay không, cũng như thời gian sửa đổi của nó. Tất cả những gì nó có thể thấy là ai đó muốn một cái gì đó từ một máy chủ từ xa bằng HTTPS.

Điều này có nghĩa là bộ nhớ đệm không thể hoạt động vì proxy không biết những đối tượng được lưu trong bộ nhớ cache nào sẽ cung cấp cho bạn hoặc làm thế nào để có được chúng ở vị trí đầu tiên.

Không, không có: chúng được mã hóa ... Một cách giải quyết sẽ giống như một triển khai trung gian , nhưng điều đó sẽ đánh bại tất cả các lý do đằng sau https .

Trình quản lý lưu lượng ZTM của Zeus (Now Riverbed) có thể làm điều này vì nó có thể dịch lưu lượng truy cập http và https theo cả hai cách và lưu trữ nội dung không được mã hóa - nó hoạt động, chúng tôi sử dụng nó, nhưng nó đắt đến mức đáng sợ - như giá của một chiếc Porsche trên mỗi máy chủ.