我们的networking和防火墙之间有一个用于URL过滤的Ubuntu服务器。 当然,SSL连接是一个问题。 我正在研究如何做一些基本的过滤。 我甚至想过使用sslstrip&squid,但这似乎不是一个很好的解决scheme。 有没有人有我如何能够做到这一点的build议。 我搜查了很多谷歌,但没有得到任何好的答案…也许这是因为没有?
谢谢!
目前我不认为你可以用鱿鱼做这个。 潜力在那里:
我们相信在技术上可以实现透明连接的dynamic证书生成。 这样做需要颠倒squid事务处理步骤,以便在与客户端的安全连接之前build立与服务器的安全连接。 这个实现将会很困难,但是它将允许Squid从服务器证书中获取服务器名称,并使用它来生成一个伪造的服务器证书给客户端。 质量补丁或赞助欢迎。
来源:见http://wiki.squid-cache.org/Features/DynamicSslCert的限制部分
我知道至less有一个这样的商业解决scheme。 可能还有更多。
那么你不能这样做。 SSL是为了防止任何types的操纵/修改。
您可以阻止整个主机,但是看不到用户看到的url。
这个问题有点老,但仍然相关的答案。
什么是“基本SSL过滤”给你? 您是否要过滤HTTPS(SSL-wrapped HTTP)或过滤端口443上的所有内容?
ufdbGuard是一个针对Squid的URLfilter,除了基于URL的简单过滤之外,还可以通过端口443来查找Squid的stream量types。 ufdbGuard识别SSL + HTTP,SSH,各种隧道/ VPN,各种主要聊天应用程序和无法识别的协议被标记为“未知协议”。 ufdbGuard可以阻止每种types,并可以强制使用有效的SSL证书和使用FQDN。