Как настроить https прокси?

Question

[Данил]

Стоит задача иметь возможность видеть кто и куда ходил, блокировать и перенаправлять ресурсы в локалке. Стоит микротик но там web proxy работает только для http насколько я понял. Как сейчас решают такие задачи?

Answer 1

[Сергей]

«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов (х86, х64 — универсальная инструкция)

Answer 2

[CityCat4]

Установкой нормального кэширующего прокси с бампингом. Обычно это squid, могут ли это другие - неизвестно.

Также для решения этой задачи понадобится свой CA, который выпустит сертификаты для прокси и корневой сертификат которого нужно будет расставить всем, кто ходит через этот прокси. Это обязательное требование, без этого работать не будет.

Бампинг работает фактически как MitM - squid при установлении соединения выпускает свой сертификат и подсовывает его клиенту, клиент отдает начальный ключ шифрования прокси, тот, зная ключ расшифровывает сессию и устанавливает соединение от своего имени.

Answer 3

[Дмитрий Шицков]

Так же и решается - через прокси.
Невозможно прозрачное проксирование https. Обычное проксирование отлично работает на Микротике.

Answer 4

[ky0]

HTTPS без распространения вашего корневого сертификата на устройства пользователей и последующей подмены сертификатов для всех доменов, проходящих через прокси не получится. И это хорошо.

Comments

[CityCat4]

Ну так в чем проблема его поставить? В домене это делается через GPO.

[ky0]

CityCat4, в том, что топикстартер ничего этого не описал - есть ли у него домен, используются ли другие ОС, мобильные устройства, представляет ли он вообще себе процесс и т. д.

[CityCat4]

ky0, Хм...согласен :)