Фильтрация SSL



  • Здравствуйте всем! Прошу прощения за еще одну тему, но в предыдущей подобной там был squid3 :)

    2.3.1-RELEASE-p1 (amd64) built on Wed May 25 14:53:06 CDT 2016 FreeBSD 10.3-RELEASE-p3

    Установил Squid Proxy, сертификаты, включил фильтрацию. Вроде работает, на доменный корневой ЦС не рукается, сайты грузятся хорошо (первый скрин.)
    Далее запускаю Outlook. Т.к. у нас почтовик находится в О365, Outlook начинает ругаться (второй скрин). Смотрим на этот сертификат, а он вроде бы тоже нормальный. Соглашаемся с предупреждением, письма ходят.
    НО! Перестает работать dropBox, Skype вроде бы и работает, но как-то криво. Пользователей онлайн он видит, но пользователи, которые должны гореть желтым цветом горят, как будто вообще оффлайн. Больше не проверял, но думаю количество программ здесь не малое будет, которое работает по 443 порту.

    Кто сталкивался с таким? Вообще кто-нибудь дешифрует https? :) Может быть где-то можно исключения добавить для определенных доменов, чтобы мимо прокси пропускал?
    Спасибо!







  • Доброе.
    А что же Вы хотели - устраивать mitm-атаку и чтобы ничего за это не было ? Это нормальное поведение скайпа etc.



  • @werter:

    Доброе.
    А что же Вы хотели - устраивать mitm-атаку и чтобы ничего за это не было ? Это нормальное поведение скайпа etc.

    А как же dropBox? Skype For Business? Из этого ничего не работает



  • @troxin:

    @werter:

    Доброе.
    А что же Вы хотели - устраивать mitm-атаку и чтобы ничего за это не было ? Это нормальное поведение скайпа etc.

    А как же dropBox? Skype For Business? Из этого ничего не работает

    А чего оно должно работать-то ??



  • @werter:

    @troxin:

    @werter:

    Доброе.
    А что же Вы хотели - устраивать mitm-атаку и чтобы ничего за это не было ? Это нормальное поведение скайпа etc.

    А как же dropBox? Skype For Business? Из этого ничего не работает

    А чего оно должно работать-то ??

    Т.е. выход один? Отключить дешифрацию?



  • Я пока остановился на том чтобы пускать некоторые компы или на некоторые ресурсы мимо прокси
    Написал названия алиасов в Bypass Proxy for These Source IPs и Bypass Proxy for These Destination IPs
    И рулю самими алиасами.
    Вроде работает и достаточно удобно, но мимо проски и фильтрации  :(



  • Неплохо было бы какие-нибудь исключения добавлять в прокси, чтобы допустим *.skype.com не фильтровало, и не заменяло сертификат.