On Friday 12 November 2010 18:11:57 Igor Falcomata' wrote:
> On Fri, Nov 12, 2010 at 10:09:54AM +0100, Fabio Muzzi wrote:
> > Ho una situazione nella quale dovrei fare transparent proxy sull' https,
> > ovviamente non sul contenuto, ma solo sugli URL. Anzi, veramente, sul
> > dominio chiamato sarebbe gia` abbastanza.
> >
> > E` possibile, o in https anche il dominio chiamato e` gia` crittato?
>
> E' gia' cifrato, l'unica discriminante che hai, senza decapsulare
> l'https e fare MITM sul SSL, e' l'ip di destinazione, che come ben sai
> in HTTP non e' detto corrisponda al vhost - ne' tanto meno che
> corrisponda il reverse, che e' l'unica cosa che potresti verificare
> senza spacchettare la richiesta.
>
> Forse potrebbe essere utile considerare che apache e quasi tutti i
> server piu' utilizzati NON supportano out-of-the box vhost diversi con
> SSL sullo stesso IP.. ma se devi cominciare a fare un plug-in che si
> connette al server, tira fuori il cn del certificato, etc.. forse fai
> prima a fare mitm su SSL e bona le'.
Fortunatamente questo annoso problema comincia a vedere una soluzione:
http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI
anche se il supporto nei browser non è esteso quanto si vorrebbe, in
particolare se parliamo di smartphone, gadget, etc.
Siccome non sono riuscito a trovare il supporto equivalente per Squid,
suppongo che il problema originale richieda l'utilizzo di Apache come
proxy invece che di squid.
Davide Bolcioni
--
There is no place like /home.
|