Ssl

squid ssl bump sslv3 強制允許舊站點

  • February 22, 2019

重要提示:我在 stackoverflow 上有這個問題,但有人告訴我這是與這個問題更相關的地方。謝謝

我已將 squid(3.4.2) 配置為 ssl 碰撞代理。我在 firefox(29) 中設置代理以將 squid 用於 https/http。現在它適用於大多數網站,但一些支持舊 SSL proto(sslv3) 的網站會中斷,而且我看到 squid 沒有像瀏覽器那樣使用任何變通方法。

應該工作的網站:https://usc-excel.officeapps.live.com/https://www.mahaconnect.in

作為一種解決方法,我設置了 sslproxy_version=3 ,它強制 SSLv3 及以上站點工作。

我的問題:有沒有更好的方法來做到這一點,它不涉及對支持 TLS1 或更好的伺服器強制執行 SSLv3。

現在我知道 openssl 不會自動處理它。但我想魷魚會。

我的魷魚會議狙擊手:

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/certs/SquidCA.pem

always_direct 允許所有 ssl_bump 伺服器首先所有 sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB

client_persistent_connections on server_persistent_connections on

sslproxy_version 3

sslproxy_options 全部

cache_dir 到 /usr/local/squid/var/cache/squid 100 16 256

coredump_dir /usr/local/squid/var/cache/squid

strip_query_terms 關閉

httpd_suppress_version_string on

通過關閉

forwarded_for 透明

變化忽略過期

refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|?) 0 0% 0 refresh_pattern 。0 20% 4320

更新:我嘗試使用 openssl 1.0.1h 編譯 squid 3.4.5 。沒有改進

如果連接失敗,我認為 squid 不會實現任何邏輯來自動重試和 SSL 降級。所以你只有以下選擇:

  • 按照您的建議將所有內容降級到 SSLv3。當伺服器出於安全原因拒絕與 SSLv3 連接時,這對安全性不利,並且可能會導致其他問題。
  • 不要使用無法處理現代 TLS 的伺服器。如果他們甚至不能將他們的伺服器更新到最新的 TLS 版本,他們可能會有更多的安全問題。
  • 為這些伺服器設置明確的例外,這樣它們就不會受到 SSL 的影響。

引用自:https://serverfault.com/questions/604824