igor 9577, Ну значит тебе продали подделку под китайскую подделку :) От продукции, рассчитанной на внутренний китайский рынок (и стоящей там три цзяо) можно ожидать чего угодно :)
Алексей Ярков, В доке на squid есть описание того, как работает бампинг. Там главное, чтобы клиент прокси доверял сертификату subCA на прокси, иначе нифига не получится.
Алексей Ярков, Поскольку сейчас практически все сайты (и хабр, конечно же) на https - пргосто так ничего не получится :) Нужен прокси, который будет делать MitM - ну то есть классическая схема squid с бампингом. На squid ставится сертификат subCA, который на лету выпускает сертификат для запрошенного домена, получает сессионный ключ и тут уже может трафик анализировать.
Для того, чтобы браузер не сходил с ума от валидности сертификатов - нужно либо корневой CA, где выпускался сертификат subCA, либо сам этот сертификат поместить в хранилище корневых всех клиентов, которые будут через него ходить.
historydev, Она выполнима только выпуском своего сертификата, которому никто доверять не будет :) Если же иметь в виду выпуск в мировом CA (даже в LE) - она невыполнима ни автоматом ни вручную.
Rsa97, Значит там SAN, который заверит два домена. В этом ничего удивительного нет - даже AlphaSSL (подразделение GS) при выпуске сертификата на zhopa.ru автоматически, без дополнительной просьбы вписывает туда www.zhopa.ru, то есть фактически сертификат выдается на два домена.
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
Хорошие специалисты не пойдут работать по специальности в бюджетное учреждение за нищенскую зарплату.
+100500
И от этого и лезет дичь. Смотришь на применение сертификатов на сайтах этих учреждений (не обязательно российских - да хоть каких-нибудь, хоть LE!) - там такая дичь!
historydev, Ну есть такое понятие, как "wildcard certificate", но для доменов второго уровня его никто не даст :) Хотя на третий уровень могут вполне - так обычно решают вопросы конторы, не имеющие своих ИБ-шников - нужен например сертификат на mail.zhopa.ru, ns.zhopa.ru, proxy.zhopa.ru - берут один на *.zhopa.ru (при этом сам домен zhopa.ru он не подтверждает!)
Почему нужен именно wildcard сертификат? Потому что при заходе на сайт проверяется наличие в сертификате именно того доменного имени, по которому заходят. То есть если заходят на zhopa,ru - в сертификате zhopa.ru должно быть прописано (наличие там IP будет пофиг)
Поэтому же кстати, SAN-сертификаты такие дорогущие. (SAN - Subject Alternative Name, позволяет вписать в один сертификат множество разных имен, например один сертификат может заверять zhopa.ru, zadnica.net и ass.com)
Да елы-палы, не видишь что ли :) Это же классика вопроса "озапупительно-крутейшая-рабочая-станция-на-ксеоне-с-неведомой-китайской-говноматерью-с-али"! Там даже произвводитель матери называется Хуанан!
