Porta padrão do Squid:


TAG: https_port
Nota: esta opção só funciona se o Squid foi compilado com "--enable-ssl".

Uso:


É o endereço do socket onde o Squid irá escutar as requisições TLS ou SSL. Comumente referido como HTTPS. Isto é muito útil para situações em que você está executando o Squid em modo acelerador e que fazer o trabalho SSL ao nível do acelerador.

Você pode especificar vários endereços em várias linhas, cada com seu próprio certificado SSL e/ou opções.

Modos:

• accel :: accelerator/reverse proxy modo
• intercept :: suporte para interceptação IP-Layer das requisições sem setar o proxy no navegador.
  • NP: desabilita a autenticação e IPv6 na porta usada.
• tproxy :: suporte para Linux TPROXY para conexões spoofing que utilizam o endereço IP do cliente.
  • NP: desabilita a autenticação e talvez IPv6 na porta usada.
• ssl-bump :: para cada conexão interceptada permitida pela ACL ssl_bump é estabelecida uma conexão segura com o cliente e o servidor, e as mensagens HTTPS serão decifradas e tratadas como mensagens não-criptografadas HTTP, tornando o Squid como "man-in-the-middle" (homem-do-meio).

É requerido um servidor primário "ssl_bump server-first" para habilitar a interceptação das conexões SSL. Requer tproxy ou intercept.

Omitindo-se o modo, faz com que o modo padrão (forward) de proxy seja usado. Veja http_port para uma lista de opções genéricas.

Opções SSL:

cert= :: caminho para o certificado SSL (PEM format).

key= :: caminho para o arquivo da chave privada SSL (PEM format). Se não for especificado, será assumido que o arquivo da chave e do certificado são o mesmo arquivo.

version= :: especifica a versão suportada pelo SSL/TLS:

1. automática (default)
2. somente SSLv2
3. somente SSLv3
4. somente TLSv1.0

cipher= :: dois pontos ":" separam as listas de cifragens suportadas.

options= :: opções de implementação SSL. As mais importantes são:

• NO_SSLv2 :: desabilita o uso de SSLv2
• NO_SSLv3 :: desabilita o uso de SSLv3
• NO_TLSv1 :: desabilita o uso de TLSv1
• SINGLE_DH_USE :: sempre cria uma nova chave ao usar mudanças temporárias/efêmeras com chaves DH.
• ALL :: Habilita várias soluções de bugs sugeridas como "inofensivas" pela OpenSSL. Isso reduz a segurança SSL/TLS para alguns ataques.

Veja "src/ssl_support.c" ou a documentação OpenSSL "SSL_CTX_set_options" para uma lista completa de opções.

clientca= :: arquivo que contém a lista de CAs quando for solicitado um certificado ao cliente.

cafile= :: arquivo contendo certificados CA adicionais para uso ao verificar os certificados dos clientes. Se não for setado, será usada a opção clientca.

capath= :: diretório contendo certificados CA adicionais e listas de CRL para usar ao verificar os certificados dos clientes.

crlfile= :: arquivo de listas CRL adicionais para usar ao verificar o certificado do cliente, além dos setados na opção capath. Implica no uso da flag "VERIFY_CRL", abaixo.

dhparams= :: arquivo contendo os parâmetros DH para trocas de chaves DH temporárias/efêmeras.

sslflags= :: várias flags modificam o uso de SSL:

• DELAYED_AUTH :: não solicite imediatamente os certificados, mas espere até a ACL requisitar um certificado (ainda não implementado).
• NO_DEFAULT_CA :: não use a lista padrão CA do OpenSSL.
• NO_SESSION_REUSE :: não habilita a reutilização da sessão. Cada conexão resultará em uma nova sessão SSL.
• VERIFY_CRL :: verifica as listas CRL ao aceitar os certificados.
• VERIFY_CRL_ALL :: verifica as listas CRL para todos os certificados dos clientes.

sslcontext= :: identificador de contexto ID da sessão SSL.

generate-host-certificates[=<on|off>] :: cria certificados SSL dinâmicos para o host de destino das requisições SSL. Quando habilitada, as opções "cert" e "key" serão usadas para assinar os certificados gerados. Caso contrário, o certificado gerado será selfsigned (auto-assinado).

Se existir um tempo de vida para o certificado, será o lifetime do certificado CA. Se o certificado gerado for "selfsigned", o tempo de vida é de três anos.

Esta opção é ativada por padrão quando SslBump for usado. Veja a opção "SslBump" acima para maiores informações.

dynamic_cert_mem_cache_size=SIZE :: tamanho usado da memória RAM total aproximado com certificados gerados em cache. Se for definido como o cache será desativado. O padrão é 4 MB.

Veja "http_port" para uma lista de opções.
Default: none