以前の名前:
動作条件: --enable-ssl
デフォルト値: squid.confの中ルールが存在しない限り、バンプ(bump)は行いません。
提案された設定:
CONNECT要求がポートがssl-bumpフラグが設定されたことを条件として、http_port(または新しい接続をインターセプトするhttps_port)ポートでCONNECT要求の受信された場合、このオプションは参照されます。
接続後のデータは順次、HTTPSによってTCPレベルで暗号化されたもの、または、複合化されたものとして扱うかは、ACLで最初に一致したバンピングのモード"mode"によります。
ssl_bump <mode> [!]acl ...
次のバンピングのモードがサポートされています。:
- client-first
- 接続はバンピングされます。 まず、クライアントとの安全な接続を確立し、その後サーバに接続します。
この古いモードでは、SquidによるサーバーのSSL証明書を模倣を許可せず、インターセプトSSL接続では動作しません。
- server-first
- 接続はバンピングされます。ソースサーバとの接続において、模倣したサーバ証明書を使用してクライアントとの安全な接続を行い、そしてサーバと接続を確立します。
両方の接続(CONNECT)リクエストは、SSLをインターセプトして接続されます。
- none
- 接続は復号化することなくTCPトンネルとなる。
接続(CONNECT)要求の両方でSSL接続をインターセプトし動作する。
ssl_bumpオプションが与えられないか、ssl_bump ACLが一致しない場合、これはデフォルト振る舞いです。
デフォルトでは、接続はバンプ(bump)されない。
最初に一致したssl_bumpオプションが優先されます。ACLが一致しない場合は、接続はバンプ(bump)されません。
ほとんどの ACLリストでの allow/deny とは違って、ssl_bumpでは暗黙の"最後の与えられたオプションを否定する"ルールを持っていません。
暗黙のルールに依存している古いssl_bumpの場合には、allow/deny のルールを明示しなければなりません。
この文節は高速および低速の両方のACLタイプがサポートされています。
詳しくは、
http://wiki.squid-cache.org/SquidFaq/SquidAcl を参照してください。
関連項目: http_port ssl-bump, https_port ssl-bump
例として:
ローカルホストか example.com に行くものを除き、すべての要求をバンプ(bump)。
acl broken_sites dstdomain .example.com
ssl_bump none localhost
ssl_bump none broken_sites
ssl_bump server-first all