Я установил брандмауэр и прокси с pf & Squid на FreeBSD. Можно ли с помощью squid наблюдать и фильтровать, какой набор шифров выбран между конечными точками (клиентом и сервером), не меняя их SSL-сертификат, не имитируя сертификат сервера через прокси в целом?
Моя главная цель - избегать слабых шифров, о которых договариваются стороны. Я хочу заставить своих клиентов использовать современные алгоритмы при серфинге в Интернете с фильтром прокси, в моем случае - Squid.
Например, если клиент и сервер используют MD5 или SHA1, DES или CAST, включая набор шифров, или SSLv3, или, если сервер отправляет моему клиенту сертификат, подписанный с помощью SHA1, или сертификат с истекшим сроком действия и т. Д., Я хочу запретить трафик .
Есть директива 'tls_outgoing_options"в Squid и у него есть"шифр' и 'минимальная версия'конфигурации. Удовлетворяют ли эти конфигурации моей цели? При необходимости могу использовать pf.
Примечание: я уже задавал вопрос, возможно ли это криптографически: Вопрос по криптографии