Важно: у меня есть этот вопрос о stackoverflow, но кто-то сказал мне, что это более подходящее место для этого вопроса. Спасибо
Я настроил squid (3.4.2) как прокси с поддержкой ssl. Я настраиваю прокси в firefox (29) для использования squid для https / http. Теперь это работает для большинства сайтов, но некоторые сайты, которые поддерживают старый протокол SSL (sslv3), ломаются, и я вижу, что squid не использует никаких обходных путей для тех, которые делают браузеры.
Сайты, которые должны работать: https://usc-excel.officeapps.live.com/ , https://www.mahaconnect.in
В качестве обходного пути я установил sslproxy_version = 3, что обеспечивает работу сайтов SSLv3 и выше.
Мой вопрос: есть ли лучший способ сделать это, который не включает принудительное использование SSLv3 для серверов, поддерживающих TLS1 или выше.
Теперь я знаю, что openssl не обрабатывает это автоматически. Но я думал, что Squid справится.
Мой фрагмент конфигурации squid:
http_port 3128 ssl-bump generate-host-Certificates = on dynamic_cert_mem_cache_size = 4MB cert = / usr / local / squid / certs / SquidCA.pem
always_direct разрешить все ssl_bump server-first all sslcrtd_program / usr / local / squid / libexec / ssl_crtd -s / usr / local / squid / var / lib / ssl_db -M 4MB
client_persistent_connections на server_persistent_connections на
sslproxy_version 3
sslproxy_options ВСЕ
каталог-кеша aufs / usr / local / squid / var / cache / squid 100 16 256
каталог_коредумпа / usr / локальный / сквид / вар / кеш / сквид
strip_query_terms выкл.
httpd_suppress_version_string на
через выкл
forwarded_for прозрачный
change_ignore_expire на
шаблон_обновления ^ ftp: 1440 20% 10080 шаблон_обновления ^ gopher: 1440 0% 1440 шаблон_обновления -i (/ cgi-bin / | \?) 0 0% 0 шаблон_обновления. 0 20% 4320
ОБНОВЛЕНИЕ: я пробовал скомпилировать squid 3.4.5 с openssl 1.0.1h. Никаких улучшений
Я не думаю, что squid реализует какую-либо логику для автоматического повторения попытки и перехода на более раннюю версию SSL, если соединение не удалось. Итак, у вас есть только следующие варианты:
Вот теперь мои правила ssl-bump настроены и работают без проблем:
http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1
Таким образом, вы игнорируете ситуацию с SSL / TLS, и ему предлагается использовать только эти шифры (по мере продвижения вниз по списку, пока он не найдет тот, с которым он совместим, независимо от используемого SSL / TLS). Я без проблем загрузил оба упомянутых вами веб-сайта через свой сервер.
Если вы измените вкладку pFSense / Services / Squid Proxy Server / GEneral Затем проверьте SSL Man In The Middle Filtering и измените режим SSL / MITM с Splice WhiteList, Bumb OtherWise на Splice ALL
проблему можно решить с помощью этой формы.
ИЛИ
Со значением по умолчанию для режима SSL / MITM с Splice WhiteList, Bumb OtherWise вы можете перейти к ACL atb и добавить желаемый URL-адрес веб-сайта в область белого списка, например: online.kktcmaliye.com