Squid. Проксирование без ругани на сертификат

На чей сертификат ругается?

Если на сертификат твоего портала - то пометить как trusted, что-то вроде

sslproxy_cert_adapt setCommonName ssl::certDomainMismatch all
acl TrustedServer ssl::server_name <домен>
sslproxy_cert_error allow TrustedServer
sslproxy_cert_sign signTrusted TrustedServer
acl step1 at_step SslBump1
ssl_bump stare step1
ssl_bump bump all

увы не помогло

Ты же делаешь Man in the Middle атаку, чего удивляешься?

Единственный выход - https://wiki.squid-cache.org/Features/DynamicSslCert, но придется импортировать свой рутовый сертификат на все клиенты. Либо пусть клиенты терпят эти ошибки.

А если указан httpS, то ошибка сертификата

Чувак, ты не поверишь... Если подсовывать поддерльный сертификат, то браузер будет предупреждать о поддельном сертификате. by design

В данном случае он не подсовывает поддельный сертификат.
Просто отвечает на SSL handshake своей страницей.

Браузер, закономерно, шлёт его лесом.

В данном случае он не подсовывает поддельный сертификат. Просто отвечает на SSL handshake своей страницей.

От создателей

• «Вещи не краденые, просто за них не заплатили»
• «Панк не умер, он просто так пахнет»

Может конечно есть какое расширение для TLS, но я о таком не слышал

Даже провайдеры под списком роскомозора дают страницу, на которой проверка сертификата не проходит

1) Клиент шлёт свой криптопривет.
2) Сервер должен ответить своим сертификатом и списком шифров.
3) Вместо этого он выплёвывает html страницу.
4) Браузер восклицает «ах ты ж хитрая жопа»!

То есть, технически, это не ситуация с поддельным сертификатом.
Просто нарушение протокола.

Без шаманства с клиентом - никак.

Только ставить клиентам свой корневой сертификат в доверенные, и генерить соответственно для каждого запрашиваемого сайта свой сертификат.