Eu tenho um caso de uso em que preciso aceitar um certificado autoassinado no Squid. Os endpoints são clusters Kubernetes que usam certificados autoassinados. Os clusters serão recriados sob demanda com diferentes certificados autoassinados e, portanto, será necessário aceitá-los com regexp, forma preferencial ou globalmente para fins de teste.
A versão atual do Squid é 6.0.0, compilada com os seguintes flags:
Squid Cache: Version 6.0.0-VCS
Service Name: squid
This binary uses OpenSSL 1.1.1 11 Sep 2018. For legal restrictions on distribution see https://www.openssl.org/source/license.html
configure options: '--prefix=/apps/squid' '--enable-icap-client' '--enable-ssl' '--with-openssl' '--enable-ssl-crtd' '--enable-security-cert-generators=file' '--enable-au
th' '--with-default-user=proxy'
Nos meus testes, brinquei com as configurações ssl_bump e tls_outgoing_options:
http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
ssl_bump bump all
sslproxy_cert_error allow all
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER,DONT_VERIFY_DOMAIN
Mas o melhor resultado que posso alcançar é_curl: (51) SSL: no alternative certificate subject name matches target host name
Ou sem ssl_bump
http_port 8080 ssl-bump cert=/apps/squid/etc/ssl_cert/CA_crt.pem key=/apps/squid/etc/ssl_cert/CA_key.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
sslcrtd_program /apps/squid/libexec/security_file_certgen -s /apps/squid/var/logs/ssl_db -M 4MB
sslcrtd_children 5
sslproxy_cert_error allow all
tls_outgoing_options options=ALL flags=DONT_VERIFY_PEER,DONT_VERIFY_DOMAIN
Eu recebocurl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to
Hoje eu preciso de endpoints K8S, mas amanhã pode haver qualquer outro endpoint, portanto pode ser a necessidade de fazer o squid criar a conexão enganando o CN.