Добавление исключений для SSL Bumping

Инструкция используется, если программа Kaspersky Web Traffic Security установлена из rpm- или deb-пакета на готовую операционную систему. Для программы Kaspersky Web Traffic Security, установленной из iso-файла, ручное изменение конфигурационных файлов встроенного прокси-сервера не предусмотрено.

Добавление исключений для SSL Bumping может потребоваться в следующих случаях:

• Программное обеспечение использует протокол, отличный от HTTPS (например, SSH, RDP, VPN).
• Программное обеспечение или веб-ресурс использует протокол WebSockets или HTTP/2.0.
• Для доступа к веб-ресурс используются национальные алгоритмы шифрования (GOST, SM2).
• Программное обеспечение использует привязку серверного сертификата (pinning).
• Программное обеспечение или веб-ресурс требует авторизации по клиентскому SSL-сертификату.

Чтобы добавить исключения для SSL Bumping, выполните следующие действия:

1. Создайте файл /etc/squid/donotbump.list со списком доменных имен веб-ресурсов и хостов, которые вы хотите добавить в исключения.

   Каждое доменное имя должно располагаться на новой строке.

   Чтобы добавить в исключения домен со всеми поддоменами, укажите точку в начале значения (например, .domain.com).

2. Добавьте в конфигурационный файл /etc/squid/squid.conf следующие директивы:

   acl do_not_bump dstdomain "/etc/squid/donotbump.list"

   ssl_bump splice do_not_bump

   Эти строки должны располагаться перед финальной директивой ssl_bump stare all.

3. Перезагрузите сервис Squid. Для этого выполните команду:

   service squid restart

Исключения для SSL Bumping будут добавлены.