Salut,
 
J'ai un serveur proxy Squid avec SquidGuard pour le filtrage.
Jusque là, noproblémo, ça fonctionne impecc...
 
...sauf pour le https ou squid laisse tout passer.
 
J'ai un peu cherché, et apparemment il faut utiliser l'option ssl-bump de squid qui va (d'après ce que j'ai compris), venir s'intercaler entre le site ssl et le client.
 
Par contre je n'arrive pas à l'implémenter.
 
Donc, où j'en suis :

• J'ai généré ma clef & certificat SSL avec openssl
• j'ai modifié mon squid.conf comme ça :

 
Je reload squid et là ça m'envoie péter (dans le cache.log) :

 
Quelqu'un à déjà implémenté avec succès le ssl-bump ?
J'ai beau arpenter le net, je ne trouve pas.

Ha oui, j'ai oublié de préciser, le flux https passe bien par le proxy, sur le firewall les ports http et https sont bloqués pour tout le monde sauf le proxy.

ne faudrait-il pas scinder la ligne de conf en deux, ie  
http_port 8080
ssl_bump cert=/etc/ssl/server.crt key=/etc/ssl/server.key
 
ou remplacer ssl-bump par ssl_bump dans la ligne complète ?

ben dans la doc squid c'est écrit sur une ligne avec "ssl-bump"
 
et sur les (rares) sites que j'ai trouvé, ils implémentent tous avec cette syntaxe.

j'essaye qd même au cas où...

effectivement, un rtfm plus tard ...  
    always_direct allow all
    ssl_bump allow all
 
    #the below should be placed on a single line
 
    http_port 8080 ssl-bump cert=/etc/squid/ssl_cert/proxy.testdomain.deCert.pem key=/etc/squid/ssl_cert/private/proxy.testdomain.deKey_without_Pp.pem
 
est-ce que ton utilisateur squid a bien les droits en lecture sur les deux fichiers de clé utilisés ?

Punaise, je suis sûr que t'as raison...
...je matte ça demain matin !

Salut,
 
Et bien ce n'est pas non plus un problème de droits (mais ça aurait pu ).
J'ai ce message :

Donc à priori c'est une commande qu'il ne reconnaît pas.
Ma version de squid est pourtant censée supporter le ssl-bump, à partir de la 3.1 dixit la doc.

Bon, je crois que j'ai trouvé le pourquoi du comment :
Le paquet squid3 d'ubuntu server n'est pas configuré avec l'option --enable-ssl. Il faut que je réinstalle à partir des sources et avec cette option.
Fait suer, c'est un serveur en prod...
...y-a pas moyen de reconfigurer sans tout réinstaller ?

C'est résolu.
J'ai suivi cette procédure qui fonctionne sous ubuntu server

 
 
J'ai remis les mêmes options dans le squid.conf, un coup de service squid3 reload et ça roule    
 
Maintenant, les utilisateurs ont un message pour accepter le certificat du serveur à chaque page ssl consultée, mais ça marche.
 
Nouvelle étape : faire accepter ce certificat automatiquement...

Il faut installer l'autorité de certification racine de confiance sur chaque poste.

yep, j'ai vu ça, je vais passer par une gpo pour déployer tout ça.

Ok, bon courage !

merci

Pour tous ceux qui n'arrivent pas à obtenir les sources de squid3,
via les commandes :
 
apt-get source squid3
apt-get build-dep squid3
 
ouvrez le fichier /etc/apt/sources.list
et ajoutez y ceci:
 
deb http://www.backports.org/debian lenny-backports main contrib non-free
deb-src http://www.backports.org/debian lenny-backports main contrib non-free
 
Faites ensuite dans un terminal un petit
apt-get update
 
Ne vous en faites pas si vous avez un retour concernant la clef publique de backport manquante, car maintenant vous pouvez obtenir les sources de squid3 via  
 
apt-get source squid3
apt-get build-dep squid3
 
Cordialement