Dúvida sobre conceitos Squid + SSL

Boa tarde pessoal,

minha dúvida é mais conceitual do que prática. Estou lendo a documentação do Squid (http://wiki.squid-cache.org/Features/SslPeekAndSplice) para entender como funciona a interceptação do Squid nas requisições a sites com uso de SSL. O grande problema é que não consegui entender as diferenças das ações PEEK, SPLICE e BUMP. Além disso, quais são as diferenças dessas ações em cada passo da conexão. Alguém poderia me explicar de forma diferente do que está na documentação oficial?

Desde já agradeço.

Pelo q entendi, é o seguinte:

- splice = ele não faz nada com a conexão TLS e deixa passar normalmente
- peek = ele obtém apenas os metadados de TLS e registra nos logs. Ele pode entregar essa informação para o step3, dependendo da sua regra
- bump = faz o processo MITM completo.

A partir dessas informações, vc deve entender tb os steps (passos) para implementar corretamente os parâmetros acima. Um resumo dos steps:

- step1 = obtém a conexão HTTPS e registra no log o método CONNECT
- step2 = obtém o TLS Hello Client e o SNI (Server Name Indication). O SNI é uma extensão do TLS q informa onde q o cliente quer se conectar (https://en.wikipedia.org/wiki/Server_Name_Indication). Logo, registra a conexão no log, de acordo com o SNI.
- step3 = este passo realiza o processo de MITM, caso a regra coincida com bump e q haja o peek nos passos anteriores. Se coincidir com o splice, ele apenas registra no log o método CONNECT.

Obs.: em todos os passos as regras de SslBump são validadas.

Olhe os exemplos outra vez e acredito q deva ficar mais claro pra vc.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh