アップストリームサーバーに接続できない場合でも、SquidキャッシュからHTTPS応答を提供できます。

アップストリームサーバーに接続できない場合でも、SquidキャッシュからHTTPS応答を提供できます。

ssl_bump次のように中間子HTTPS接続とキャッシュ応答を作成するようにSquidを設定しました。

http_port 3128 ssl-bump \
  cert=/etc/squid/certs/squid-ca-cert-and-key.pem \
  generate-host-certificates=on dynamic_cert_mem_cache_size=16MB

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

私はSquidがクライアントの接続を受け入れ、キャッシュから応答を提供したいと思います。今後アップストリームサーバーに接続してみてください。

ただし、最初にサーバーに接続しようとし、サーバーに接続できない場合(たとえば、ネットワークがオフラインの場合)、503エラーを返します。

1635102093.658     13 172.17.0.1 NONE/200 0 CONNECT deb.nodesource.com:443 - HIER_NONE/- -
1635102093.673      0 172.17.0.1 NONE/503 4110 GET https://deb.nodesource.com/setup_12.x - HIER_NONE/- text/html

ネットワークが使用可能でアップストリームホストに接続できる場合、Squidはメモリ内キャッシュからサービスを提供します。

1635102172.772    101 172.17.0.1 NONE/200 0 CONNECT deb.nodesource.com:443 - HIER_DIRECT/18.2.197.72 -
1635102172.792      1 172.17.0.1 TCP_MEM_HIT/200 14319 GET https://deb.nodesource.com/setup_12.x - HIER_NONE/- text/plain

答え1

:を使用するとclient-first動作するようです。

acl step1 at_step SslBump1
ssl_bump client-first step1
ssl_bump bump all

ただし、これは長い間使用されていないオプションであり、あらゆるタイプのTLS接続に接続することはできません。

関連情報