а у вас с пониманием https прокси хорошо?

Например с осьминожкой замечательно, да.

Оценочное суждение

И причём не однократно

а у вас с пониманием https прокси хорошо?

Как работает https?

от клиента до прокси-сервера https может ходить нешифрованым. а от прокси до сервера он ходит шифрованым.

И зачем он вообще нужен?

Антон, как работает https?

от клиента до прокси-сервера https может ходить нешифрованым. а от прокси до сервера он ходит шифрованым.

в корне неверно

Как у вас сервер будет сертификатом чужим клиенту отвечать?

да мне похой если честно, задача не в этом

дело в том, что "может" - это если клиент думает, что он ходит по http, а не по https

да мне похой если честно, задача не в этом

Задача у вас - понять как работает https

либо уловите суть, либо не лезте со знаниями которые к вопросу отношения не имеют

@saintnox чувак, как бы ты уже столько раз спрашивал эту фигню, что либо бы прочитал документацию сам, либо иди на фриланс и размещай заказ чтоб за тебя сделали

Но если вдруг сервер отдаст ссылку на https (картинку или css какой) - клиент получит болт

есть 2 задачи условно. 1) сделать прокси-сервер который умеет делать listen для http и https сайтов. 2) вместо перенаправления азпросов на сайты указанные в заголовке host слать запросы как есть на мой сервер, получать от него ответ и возвращать клиенту

Слать запросы на мой сервер

Вот тут конкретно

Как сервер будет отвечать не имея сертификата?

либо уловите суть, либо не лезте со знаниями которые к вопросу отношения не имеют

что значит "не имеют"? Самое прямое отношение.

Антон, вы пытаетесь с умным видом и не имея абсолютно никаких знаний выставить тут всех дураками?)

#желтаякарточка

вы сами себя выставляете теми, кем хотите быть)

#желтаякарточка

?

Как сервер будет отвечать не имея сертификата?

Кстати.. это возможно в AD... отвечаем подписанным сервером сертификатом, подписанным CA, который стоит доверенным у доменных машин. :) Примерно по тому же прицнипу работают локальные антивирусы

?

Я ссл сниферу)

Кстати.. это возможно в AD... отвечаем подписанным сервером сертификатом, подписанным CA, который стоит доверенным у доменных машин. :) Примерно по тому же прицнипу работают локальные антивирусы

Да без проблем. Только сертификат нужно пользователю отдать и сделать доверенным

А это уже свинство)

вы сами себя выставляете теми, кем хотите быть)

Думаю, что вам все же стоит почитать википедию

Да без проблем. Только сертификат нужно пользователю отдать и сделать доверенным

дык если пользователь в домене - он уже доверяет сертификату, который ему впилил контроллер

дык если пользователь в домене - он уже доверяет сертификату, который ему впилил контроллер

Ну тут частность - есть домен)

Ну тут частность - есть домен)

Ну да :)

1) squid 2) сертификаты не обманешь так просто

есть ссылка на конкретный раздел доки по сквид где он все заголовки от клиента шлёт на указанный мной сервер и возвращает клиенту ответ от моего сервера?

Я просто работаю над хотспотами и у меня с ssl уже давняя вражда, для редиректов по 443

есть ссылка на конкретный раздел доки по сквид где он все заголовки от клиента шлёт на указанный мной сервер и возвращает клиенту ответ от моего сервера?

Он предлагает подменить корневой сертификат

То есть пользователь в первый раз все равно получит ахтунг с предложением принять какое то говно и доверять ему

пользователь этой системы я.

есть ссылка на конкретный раздел доки по сквид где он все заголовки от клиента шлёт на указанный мной сервер и возвращает клиенту ответ от моего сервера?

Антон, ещё раз

Вы можете вернуть клиенту все что угодно

Но клиент ждёт сертификат

есть ссылка на конкретный раздел доки по сквид где он все заголовки от клиента шлёт на указанный мной сервер и возвращает клиенту ответ от моего сервера?

Нет. Ты, по всей вероятности, не представляешь, как работает https. Ты не получишь заголовки. Ты максимум, увидишь, что пользователь установил CONNECT к нужному ему сайту. Ну или ты можешь направить его CONNECT в другое место, но пользователь увидит, что он подцепился не туда и, если он не полный дебил, нажмет "не доверять нелепому сертификату trololo.com" и разорвет соединение еще до того, как туда пойдут заголовки

Которого у вас нет

Поэтому вам и написали - либо корневой сертификат пихать либо mitm

Но последнее не прокатит с hsts

Либо задачу пересмотреть

А на них уже все нормальные сайты перешли

Часто выбирают решение по картам, рандомно

Так что не нужно с умным видом выставлять себе дураком.

Вы спросили, вам ответили. Прислушаться или думать что ав победили интернет - дело ваше

В втором случае - вам прямая дорого в РКН

Им такие ребята нужны

Перебросить запрос не проблема, как с HTTPS быть? За CONNECT последует прямое SSL подключение, с проверкой сертификата и так далее. У вас же натуральный MitM. CONNECT просит прокси создать TCP канал к запрошенному адресу. Дальше либо самоподписанный сертификат (и предупреждение браузера на весь экран), либо проброс данных без возможности анализа и модификации (ибо всё шифровано) оба варианта меня полностью устраивают )

Сначала идет CONNECT... там обмен ключами-сертификатами, затем проверка, что сервер, к которому установлено соединение - это то самый сервер, дальше, при успехе, если сказать проще, получается шифрованный туннель, а вот уже по нему бегают желанные заголовки.

Перебросить запрос не проблема, как с HTTPS быть? За CONNECT последует прямое SSL подключение, с проверкой сертификата и так далее. У вас же натуральный MitM. CONNECT просит прокси создать TCP канал к запрошенному адресу. Дальше либо самоподписанный сертификат (и предупреждение браузера на весь экран), либо проброс данных без возможности анализа и модификации (ибо всё шифровано) оба варианта меня полностью устраивают )

Если пользователь перейдёт на сайт с hsts- то вы обосретесь

Потому что там такой трюк не прокатит

А на hsts уже весь крупняк типо гуглов, фейсбуков и прочих нормальных фирм

В втором случае - вам прямая дорого в РКН

тут должна быть поговорка про армию и вековые деревья...

Сначала идет CONNECT... там обмен ключами-сертификатами, затем проверка, что сервер, к которому установлено соединение - это то самый сервер, дальше, при успехе, если сказать проще, получается шифрованный туннель, а вот уже по нему бегают желанные заголовки.

+

А быть может ему просто нужно знать куда кто бегал? До уровня домена и не далее?)

Перебросить запрос не проблема, как с HTTPS быть? За CONNECT последует прямое SSL подключение, с проверкой сертификата и так далее. У вас же натуральный MitM. CONNECT просит прокси создать TCP канал к запрошенному адресу. Дальше либо самоподписанный сертификат (и предупреждение браузера на весь экран), либо проброс данных без возможности анализа и модификации (ибо всё шифровано) оба варианта меня полностью устраивают )

Если оба варианта устраивают - тогда просто левый https на 443 порту на nginx и перенаправление в iptables. Браузер будет ругаться, но можно нажать "доверять"

А он просто не верно сформулировал

Если оба варианта устраивают - тогда просто левый https на 443 порту на nginx и перенаправление в iptables. Браузер будет ругаться, но можно нажать "доверять"

Нджинкс? А нормальные сквиды не завезли?)

С пушки по воробьям)

Да кто ж знает... когда указали на неверную формулировку и недостачу информации - посыпались х..и в сторону замечальщиков :)

что умею и уже стоит на серверах, то и завезли

Да кто ж знает... когда указали на неверную формулировку и недостачу информации - посыпались х..и в сторону замечальщиков :)

Ну это же интернет

что умею и уже стоит на серверах, то и завезли

Вы задачу обозначьте нормально

Нджинкс? А нормальные сквиды не завезли?)

в условии задачи был nginx. сквидов не было :)

И мы посоветуем как поступить, если вам оно надо)

А вот это вот «я ничего не понимаю, но вы тут мне все врете и не лечитесь» - не надо.

если сквид умеет это, то возражений нет.

Да что умеет то?

Цель ваших телодвижений какая?

по поводу иптаблес, наверное не подойдёт, нужно перенаправлять траф только в рамках прокси соебинения, все осталные должны идти как обычно

цель - research & development

сквид точно умеет через себя CONNECT пропускать. Насчет перенаправлять - наверное умеет, но я не уверен.

сквид точно умеет через себя CONNECT пропускать. Насчет перенаправлять - наверное умеет, но я не уверен.

Умеет

цель - research & development

Шта?

Умеет

но это ж зашквар :)

но это ж зашквар :)

Ровно как и танцы с подменой сертификатов

Ровно как и танцы с подменой сертификатов

Я вся согласный

Я очень долго с ним танцы придумывал

Что бы решить проблему с редиректом 443

Без говна

Но это как бы импосил от слова совсем

А тут заходит парень и говорит «я могу залезть внутрь ссл, а вы все дураки»

Не смог пройти мимо)

А может он в РКН работает...

А может он в РКН работает...

А быть может это тестовое задание

Ога :)

Что бы на работу взяли в РКН

Там как раз всю неделю жопы в огне

Дон Кихоты недоделанные

Мы сегодня ссались с rutracker.org, открывшихся на мобиле через LTE :)

Мы сегодня ссались с rutracker.org, открывшихся на мобиле через LTE :)

Эээ

Ну ка

ПОпробуй... у мну на Мегафне не открылось, но Йота с первого раза прокатило, потом нет :) Билайн - прокатил :)

Не, у мегафона все норм

Никаких этих ваших интернетов

Да у мегафна видимо позаботились нормально о будущем, перед тем, как свалить