我使用BYOD程序运行学校networking。 我有一个linux代理(鱿鱼)的内容过滤心(dansguardian叉)。 一切工作正常HTTP的问题是当孩子们开始使用HTTPS的时候。 我最大的问题是,在safari中进行谷歌search时,苹果已经转向使用HTTPS。 这可以让孩子在没有MinD的情况下进行search,从而强制安全search 我想知道我能做些什么。 反正有阻止呢? 提前感谢任何帮助!
现在可以要求Google将安全searchredirect到http – https://support.google.com/websearch/answer/186669?hl=zh_CN是有关该主题的Google帮助页面。 他们build议使用DNS欺骗,这可能在Windows 2008r2中很难 – 我个人认为连接头重写是为了实现相同的目标,这可以在所有好的网页filter(以及一些不好的网页filter)中完成。
我为Smoothwall提供了这样一种function的筛选器,还可以进行其他SSL筛选。 我有偏见,但我build议你看看。 当谈到困难的事情时,这比自己动手要容易得多。 为了公正的利益,还有其他的网页filter:)
Squid 使用Bump-Server-First支持一个名为SslBump的function。 这基本上意味着浏览器将尝试build立他们和主机之间的安全连接。 Squidcaching获取被拦截的连接,Squidbuild立外部连接。 然后完成与用户的安全连接。 Squid本质上是用户/ squid部分的authentication机构,所以它可以清除stream量并caching/过滤它。
因为这是deviseSSL思想的人可能是一个攻击媒介,有一些颠簸要克服。 Squid确实支持dynamic证书生成,因此证书域在客户端匹配,并将一些原始证书信息传递给客户端 。 如果您的客户端设备可以信任您的CA证书,所有这一切都可以相当顺畅。 如果人们使用他们自己的设备,那比较困难。
需要注意的是,您的caching现在可以控制这些设备的第三方信任。 在dynamic证书中模仿的信息有助于减轻这一点,但是可以configurationsquid盲目地信任可能对用户不利的事情,如果有人在中间人攻击中进一步从代理中做出一个真正的人, 例如。
你可以做的事情不多。你可以为google.com生成一个自签名的SSL证书,然后MITM生成stream量,然后你可以检查它并根据需要进行阻止,除非它取决于孩子们是否,以及是否会接受您的自签证书。
这也可能是非法的。 您可以完全阻止HTTPSstream量,但这可能会破坏各种各样的事情。