Distribution EOLE

Compilation de squid¶

Comme suggéré dans les documents consultés, la version de squid distribuée par Ubuntu ne semble pas être compatible avec la fonctionnalité de MITM : l’option ssl-bump n’est pas reconnue.

Recompilation du paquet distribué par Ubuntu en modifiant le rules (ajout des options --enable-ssl et --enable-ssl-crtd et remplacement de --with-gnutls par --with-openssl, la pertinence de cette dernière substitution restant à vérifier) :
https://owncloud.cadoles.com/owncloud/public.php?service=files&t=110e53e7e81d5d2faadf760fe4597ebd

Génération d’une clé et d’un certificat permettant d’émettre des certificats¶

openssl genrsa 4096 > /etc/squid/signingCA.key
openssl req -new -x509 -days 3650 -key /etc/squid/signingCA.key -out /etc/squid/signingCA.crt
cp /etc/squid/signingCA.crt /etc/squid/chain.pem
chown proxy:proxy /etc/squid/signingCA.key /etc/squid/signingCA.crt /etc/squid/chain.pem

Le changement de propriétaire n’est peut-être pas nécessaire, par contre, la présence de la chaîne semble l’être. Un essai en ne renseignant que le certificat signingCA.key dans la configuration n’était pas concluant.

Configuration de squid¶

Voir les patchs joints. Ajout des options aux lignes http_port et ajout d’acl basiques

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/signingCA.crt key=/etc/squid/signingCA.key cafile=/etc/squid/chain.pem

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump bump all

Préparation du répertoire des certificats¶

/usr/lib/squid/security_file_certgen -c -s /var/spool/squid/ssl_db -M 4MB

Ce répertoire appartient à root.