Если вы хотите фильтровать https сайты, либо фильтровать сайты, которые используют hsts https://ru.wikipedia.org/wiki/HSTS , то вы можете воспользоваться встроенным в Carbon Reductor https_proxy сервером.
 | Внимание! Ознакомьтесь с требованиями по внедрению перед началом работ, т.к. внедрение требует работы со всеми вашими абонентами! |
 | При использовании https_proxy рекомендуется страницы заглушки для blockpage и squid размещать на отдельных серверах, так как возможно зацикливание squid при обращении к DNS. |
Редуктор будет анонсировать свой ip для ресурсов, которые необходимо фильтровать через DNS, либо через BGP, абонентский трафик будет идти через редуктор.
Чтобы редуктор мог фильтровать сайты с включенным hsts, ему нужно иметь сертификат для каждого фильтруемого сайта, который абонентские устройства будут считать валидным. Самоподписные сертификаты не сработают (использование самоподписных сертификатов для фильтрации https сайтов без hsts планируем добавить в ближайшее время). Поэтому для работы требуется всем абонентам установить сертификат центра сертификации CarbonSoft в свой браузер (приложения для просмотра youtube на смартфонах и smartTV, которые мы проверяли, работали корректно и без установки сертификата).
Сам сертификат можно скачать по адресу http://reductor-ca.carbonsoft.ru/root-chain-cert.crt
Требуется организовать возможность оповещения абонентов с подробными инструкциями по настройке, например SMS. Встроенная страница с необходимой информацией в разработке. Свяжитесь с тех. поддержкой для предоставления необходимых инструкций.
В целях безопасности, корневой сертификат удостоверяющего центра не хранится на серверах редуктора, на нем хранится только временный сертификат на конкретные домены, в которых используется hsts и которые есть в списках Роскомнадзора. (сейчас там только youtube)
Как включить https_proxy:
1. Выполнить команду "menu" в консоли и выбрать подменю "Reductor". Затем перейти в "Настройки алгоритма фильтрации".
В данном подразделе включить следующие опции:
"Фильтровать HSTS ресурсы через прокси"
"Отправлять HSTS домены в прокси по DNS"
Также необходимо заполнить поле "IP-адрес прокси-сервера" - это ip адрес редуктора.
Сохраним изменения.
2. Заполнить список hsts ресурсов для https-прокси, использую любой текстовый редактор
/app/reductor/var/lib/reductor/lists/provider/our.domain_hsts
Например
echo "youtube.com" > /app/reductor/var/lib/reductor/lists/provider/our.domain_hsts
3. Выполнить перезапуск используемых приложений
/app/reductor/service restart
4. Запустить обновление списков
chroot /app/reductor /usr/local/Reductor/bin/update.sh