squid ssl bump sslv3 强制允许旧网站

我认为 squid 没有实现任何逻辑来在连接失败时自动重试和 SSL 降级。因此您只有以下选项：

• 按照您的建议将所有内容降级为 SSLv3。这不利于安全性，并且当服务器出于安全原因拒绝使用 SSLv3 连接时，可能会导致其他问题。
• 不要使用无法处理现代 TLS 的服务器。如果他们甚至无法将服务器更新到最新的 TLS 版本，那么他们可能会遇到更多安全问题。
• 对这些服务器做出明确的例外，以便它们不会受到 SSL 冲击。

现在我的 ssl-bump 规则已设置完毕，并且运行正常：

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1

这样，您就忽略了 SSL/TLS 的情况，并被告知只使用这些密码（按顺序向下查找，直到找到与之兼容的密码，而不管是否使用 SSL/TLS）。我通过我的服务器加载了您提到的两个网站，没有任何问题。

如果您更改 pFSense / 服务 / Squid 代理服务器 / 通用选项卡，则检查 SSL 中间人过滤区域并将 SSL/MITM 模式从 Splice WhiteList, Bumb OtherWise 更改为 Splice ALL

这个问题可以用这种形状来解决。

或者

使用带有 Splice WhiteList 的 SSL/MITM 模式的默认值，Bumb OtherWise 您可以转到 ACLs atb 并将所需的网站网址添加到白名单区域，即：online.kktcmaliye.com