Hallo zusammen,

ich erstelle das hier mal in "Klatsch und Tratsch", weil es ja nicht direkt was mit Programmierung zu tun hat.

Wir haben in unserem lokalen Netz Squid als HTTP-/HTTPS-Proxy laufen, der Anfragen zentral speichern soll, um Traffic zu sparen und die Ladezeiten zu verkürzen. HTTPS-Verkehr kann aber natürlich nicht gespeichert werden da verschlüsselt. Einen Man-in-the-Middle-Angriff würde ich gerne (aus hoffentlich ersichtlichen Gründen) vermeiden. Mir kam daraufhin der Gedanke, dass die Verbindung vom Client zum Proxy gar nicht verschlüsselt sein müsste, insofern anschließend der Proxy über HTTPS mit dem Server kommunizieren würde.

Also in folgendem Aufbau:
Client -> HTTP -> Proxy -> HTTPS -> Server

Dadurch würden zum Einen Seiten, die HTTPS erzwingen (Wikipedia, Google etc.) ebenfalls zwischengespeichert werden und zum Anderen die verschlüsselte Übertragung immer dort verwendet werden, wo sie möglich ist.

Leider hat sich selbst nach umfangreicher Recherche kein ähnlicher Aufbau finden lassen. Mitunter liegt das auch nur daran, dass mir eine Bezeichnung für ein solches Vorgehen fehlt. Daher nun die Frage an euch: Kennt ihr eine Möglichkeit, dies umzusetzen? Durchaus auch mit einem anderen Proxy, wenn er Caching unterstützt. Oder wenn nicht: Ließe sich so etwas mit vertretbarem Aufwand selbst umsetzen?

Lass das bleiben, das funktioniert nicht.

Zum einen gibt es diverse browserbasierte Sicherheitsmechanismen, die HTTPS im Browser voraussetzten (HSTS, Secure Cookies). Dann hast du HTTPS-Direktlinks, die in deinem Setup nicht mehr funktionieren würden. Außerdem führst du das Ende-zu-Ende Prinzip damit ad-absurdum. Und es gibt bestimmt noch vieles mehr, je länger man darüber nachdenkt.

Ich würde bei SSL auf die Speicherung verzichten und einfach den CONNECT am Squid erlauben.
Sonst müsstest Du die SSL-Verbindung aufbrechen. (Wogegen m.E. nicht nur datenschutzrechtliche Gründe sprechen, sondern auch Sicherheitslöcher öffnet)

An Secure Cookies hatte ich nicht gedacht, aber die HTTPS-Direktlinks ließen sich durch den Proxy oder zumindest durch ein Browserplugin zu HTTP ändern lassen.
Das Ende-zu-Ende-Prinzip möchte ich ja gerade ein wenig angreifen, da ich die Kommunikation im lokalen Netz als sicher ansehen kann und so die Möglichkeit der zentralen Zwischenspeicherung erhalte.

So ist es bisher eingestellt. Ich suche nur derzeit nach einer Möglichkeit (ja, eventuell bleibt diese Suche erfolglos), mit der ich ohne Man in the Middle zwischenspeichern kann.

Anbei:
Ich habe soweit vollkommene Kontrolle über den Proxy und die Clients, kann also entsprechend verfahren.

Finde ich nicht gut, aber das ist deine Entscheidung.

Wenn es unbedingt sein muss, erstell eine eigene CA und roll diese in die Clients aus. Wie das dann mit EV Zertifikaten ist weiß ich aber nicht.

Anleitungen scheint man über squid https gut zu finden.