squid ssl bump sslv3 強制允許舊站點
重要提示:我在 stackoverflow 上有這個問題,但有人告訴我這是與這個問題更相關的地方。謝謝
我已將 squid(3.4.2) 配置為 ssl 碰撞代理。我在 firefox(29) 中設置代理以將 squid 用於 https/http。現在它適用於大多數網站,但一些支持舊 SSL proto(sslv3) 的網站會中斷,而且我看到 squid 沒有像瀏覽器那樣使用任何變通方法。
應該工作的網站:https://usc-excel.officeapps.live.com/ ,https://www.mahaconnect.in
作為一種解決方法,我設置了 sslproxy_version=3 ,它強制 SSLv3 及以上站點工作。
我的問題:有沒有更好的方法來做到這一點,它不涉及對支持 TLS1 或更好的伺服器強制執行 SSLv3。
現在我知道 openssl 不會自動處理它。但我想魷魚會。
我的魷魚會議狙擊手:
http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/certs/SquidCA.pem
always_direct 允許所有 ssl_bump 伺服器首先所有 sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB
client_persistent_connections on server_persistent_connections on
sslproxy_version 3
sslproxy_options 全部
cache_dir 到 /usr/local/squid/var/cache/squid 100 16 256
coredump_dir /usr/local/squid/var/cache/squid
strip_query_terms 關閉
httpd_suppress_version_string on
通過關閉
forwarded_for 透明
變化忽略過期
refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|?) 0 0% 0 refresh_pattern 。0 20% 4320
更新:我嘗試使用 openssl 1.0.1h 編譯 squid 3.4.5 。沒有改進
如果連接失敗,我認為 squid 不會實現任何邏輯來自動重試和 SSL 降級。所以你只有以下選擇:
- 按照您的建議將所有內容降級到 SSLv3。當伺服器出於安全原因拒絕與 SSLv3 連接時,這對安全性不利,並且可能會導致其他問題。
- 不要使用無法處理現代 TLS 的伺服器。如果他們甚至不能將他們的伺服器更新到最新的 TLS 版本,他們可能會有更多的安全問題。
- 為這些伺服器設置明確的例外,這樣它們就不會受到 SSL 的影響。