Около двух недель назад пользователи начали сообщать, что не могут получить доступ к двум сайтам только с https. Когда я изучил эти сайты, я обнаружил, что они абсолютно нетерпимы к TLS. Для подключения требуется SSL3, а TLS (1.0-1.2) должен быть отключен в браузере. Теперь, благодаря этому обходному пути, пользователи могут подключаться, однако мы обнаружили, что некоторым пользователям это вообще не нужно - откат к SSL3 по-прежнему работает правильно (как и раньше). Сначала я подумал, что это какое-то смягчение последствий POODLE, но, похоже, проблема не в этом. Все сайты доступны, когда они находятся вне нашей внутренней сети (я могу получить к ним доступ у себя дома с настройками по умолчанию как в Chrome, так и в IE). Единственная разница в том, что эти сети на работе проходят через прокси zScaler. Однако время от времени мы можем подключаться без изменения каких-либо настроек в нашей внутренней сети с неповрежденным прокси, что заставило меня поверить, что прокси не виноват (как это было моей первой мыслью). Единственное, что у нас есть, это то, что это может иметь какое-то отношение к тому, как наши 2 маршрутизатора GRE маршрутизируют трафик. Есть ли что-нибудь еще, на что мы должны обратить внимание?
В настоящее время ни один из основных браузеров не имеет отключенного SSL 3.0 по умолчанию (часто есть варианты отключения SSL 3.0 вручную), и во всех них по-прежнему реализованы резервные варианты на случай, если TLS не работает. Это означает, что прямые подключения должны работать в большинстве случаев.
Я не вижу официального заявления Zscaler о том, что они делают против POODLE при перехвате HTTPS, но, возможно, они просто отключили SSL 3.0. Это будет означать, что в некоторых случаях он все еще будет работать, если ваше соединение через прокси-сервер Zscaler, а в других случаях SSL 3.0 уже заблокирован.