Прокси сервер squid, ssl_bump поясните, в чем разница между peek и stare?

Question

[Довольный Айтишникъ]

Имеется прокси, настроенное на мониторинг посещаемых https сайтов без подмены сертификата, все работает, но иногда в браузере появляется вот такая ошибка

после перехода в адресную строку и нажатия Enter сайт открывается успешно, в логах ошибок нет, проявляется редко и повторить ошибку специально не удается. В процессе поиска решения и чтения документации попал в тупик, не могу понять разницу между ssl_bump peek step1 и ssl_bump stare step1, в чем разница? В документации такое описание:
peek

When a peek rule matches during step1, Squid proceeds to step2 where it parses the TLS Client Hello and extracts SNI (if any). When a peek rule matches during step 2, Squid proceeds to step3 where it parses the TLS Server Hello and extracts server certificate while preserving the possibility of splicing the client and server connections; peeking at the server certificate usually precludes future bumping (see Limitations).

stare

When a stare rule matches during step1, Squid proceeds to step2 where it parses the TLS Client Hello and extracts SNI (if any). When a stare rule matches during step2, Squid proceeds to step3 where it parses the TLS Server Hello and extracts server certificate while preserving the possibility of bumping the client and server connections; staring at the server certificate usually precludes future splicing (see Limitations).

Разница в описании минимальна, но моих познаний английского не хватает чтоб понять в чем у них разница? В каком случае применять одна, а в каком другое.

Может кто пояснить человеческим языком что к чему?

Answer 1

[Довольный Айтишникъ]

Собрал 4 squid с тем же конфигом, полет нормальный, проблема почти месяц как не проявляется...

Answer 2

[Дмитрий]

Могу ошибаться, я это помню следующим образом. Сквид может работать с SSL соединениями в нескольких режимах.
1. peek + splice - в этом режиме он просто выдергивает имя ресурса с помощью SNI и клиент дальше работает с ресурсом. Т.е. не происходит подмена сертификата. Этот режим подходит для transparent proxy
2. stare + bump - а вот тут, сквид еще и в "разговор" между клиентом и сервером полезет, то есть вполне себе классический MITM.

Comments

[Довольный Айтишникъ]

Да вот в том то и дело что внешне ничего не меняется, сертификат при любом способе честный, который веб сайт предоставил, поставил в настройках stare, буду ждать появится ли эта неуловимая ошибка.

[Дмитрий]

Вот смотрите, я ниже скину часть своих настроек "прозрачного" прокси. Т.е. на него трафик заворачивается через iptables.

# transparent configuration ports
http_port 192.168.1.253:10080 intercept
https_port 192.168.1.253:10443 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

# тут всякое не относящееся к нашему вопросу

# SSL SSL SSL
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all

# ниже снова всякие другие опции, delay_pools и т.п.

[Довольный Айтишникъ]

Дмитрий Да, все точно так же и у меня. И оно прекрасно работает... Но вот иногда, непредсказуемо и неповторимо выскакивает эта ошибка... Для эксперимента собрал 4 версию проксика и часть пользователей направил туда, посмотрю как он себя с аналогичным конфигом поведет...