28 Oca 2016 19:22 tarihinde "Eray Aslan" <[email protected]> yazdı: > > On Thu, Jan 28, 2016 at 01:50:51PM +0200, Ercan Istek wrote: > > Bunun bir cozumu yokmudur. https olmayinca artik squid in de cok > > manasi kalmiyor. > > SSL/TLS alaninda hizmet verenler/browser'lar (google, twitter, dropbox, > chrome, firefox vs) ile proxy'ler arasindaki yarisin sonucu. HSTS ve > cert-pinning ile man-in-the-middle atagini onlemeye calisiyorlar. > Proxy'ler de etrafindan dolasmaya calisiyor. Benzer sekilde, SMTP icin > de DANE var. > > Unutmayin ki ssl_bump kullanicilariniza karsi bir atak ve bircok yerde > kanun disi. Kullanmadan once gercekten ihtiyaciniz olup olmadigini > degerlendirin derim. Kullanirsaniz da yeni gelismeler ile calisan > sistemin zaman icinde hata vermeye baslamasi olasi ve bu yarisin sonucu.
Bu durumda, daha native bir cozum olarak, transparent proxy yerine (ssl_bump olayina girmeden) browser'a proxy girerek https'i squid'den gecirmeyi de secebilirsiniz. Tabi client'leri yonettiginiz bir network ise gecerli bu secenek. Ayrica 80 ve 443 kullanan tum uygulamalara da proxy girmek gerekir ki sahada sizi ugrastirmasi acisindan bu isin negatif tarafi olacaktir.
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
