сквид с sslbump блокирующийся Netflix
Я установил Сквид 3.15 на сервере Ubuntu 15.10. Сквид был установкой с sslbump для трафика HTTPS. Функциональность работает без любой проблемы т.е.: весь трафик и от http и от https проходит Сквид, и ко всему Интернету можно получить доступ на всех устройствах, где сертификаты установлены.
Одно исключение: 'Netflix APP' больше не работает над Устройствами на iOS (iPhone, iPad). Независимо от того, что я делаю. Все другие интернет-сервисы (Safari и другие приложения) работают правильно над теми устройствами.
Я смог выполнить Netflix от браузера на полях Linux и даже Safari OS X. Единственной вещью, которая не работает, является Netflix APP на IOS.
Конечно, если я отключил sslbump и только позволил http проходить Сквид работы Netflix. Я попробовал и прозрачный режим и режим прокси на iPhone, все еще не работая.
Кому-либо удавалось сделать Netflix APP на работе Устройств на iOS со сквидом с sslbump включенный?
1 ответ
Проблема состоит в том, что приложение Netflix использует закрепление сертификата.
"Закрепление сертификата состоит в том, где Вы игнорируете, что целая вещь, и говорит, что доверие этот сертификат только или возможно доверяет только сертификатам, подписанным этим сертификатом".
https://security.stackexchange.com/questions/29988/what-is-certificate-pinning
я рекомендовал бы обновить до Сквида 3.17, потому что Вы, вероятно, захотите использовать прозрачный режим, потому что нет никакого пути на iPad для конфигурирования приложения Netflix для соединения с другими портами. 3.17 теперь позволяет быстрый взгляд, и соединение встык в прозрачном режиме
"Наша цель должно позволить нашим пользователям просматривать некоторые важные веб-страницы (как банковское дело или платежные системы) без перехвата SSL (это назвало Соединение встык в терминологии Сквида), но остальная часть Трафика HTTPS должна быть прервана ("натолкнулся") для проверки содержания". "Теперь благодаря расширению TLS в стандарте HTTPS (представляющий SNI) и быстрый взгляд Сквида & функция соединения встык возможно определить server_name путем заглядывания на запрос клиента (как долго, поскольку клиент TLS/SNI совместимый)".
http://marek.helion.pl/install/squid.html < - потрясающий, спасибо Marek!
Это - то, что я закончил тем, что делал
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl nobumpSites ssl::server_name .netflix.com
# Peek at client's TLS-request in order to find the SNI
ssl_bump peek step1 all
# don't bump the nobumpSites
ssl_bump splice step2 nobumpSites
# bumping all other SSL connections
ssl_bump bump
, Если Вы не знаете то, что SNI должен быть (.netflix.com) использованием wireshark для рассмотрения клиента привет. Поскольку трафик клиента Netflix является https единственный путь к сквиду для знания то, что домен должен посмотреть на незашифрованный клиент привет, который должен содержать SNI.
я должен отметить, что это берет iPad приложение Netflix приблизительно 60 секунд, чтобы начать играть видео. У меня есть идея, почему и обновит здесь позже.
Важное примечание (не реализованный выше) "Может сквид mitm соединения SSL, но сознательно генерировать недопустимые сертификаты для восходящих соединений, которые являются сам подписаны или недопустимы, таким образом, мой браузер отметит их?" "Текущий Сквид делает что, если Вы делаете действие "удара" Удара SSL в step3, когда детали сервера известны". http://lists.squid-cache.org/pipermail/squid-users/2016-March/009707.html < - Большое спасибо Amos для всего знания сквида он совместно использует!
Другие источники http://www.squid-cache.org/Doc/config/acl/
http://lists.squid-cache.org/pipermail/squid-users/2016-April/010009.html