squid ssl bump sslv3 强制允许旧网站

squid ssl bump sslv3 强制允许旧网站

重要提示:我在 stackoverflow 上有这个问题,但有人告诉我这里更适合这个问题。谢谢

我已将 squid(3.4.2) 配置为 ssl bumped 代理。我正在 Firefox(29) 中设置代理,以使用 squid 进行 https/http。现在它适用于大多数网站,但一些支持旧 SSL 协议 (sslv3) 的网站会中断,而且我发现 squid 不会像浏览器那样对这些网站采用任何解决方法。

可以工作的站点:https://usc-excel.officeapps.live.com/https://www.mahaconnect.in

作为一种解决方法,我设置了 sslproxy_version=3 ,它强制 SSLv3 及更高版本的站点运行。

我的问题是:有没有更好的方法来做到这一点,而不涉及对支持 TLS1 或更高版本的服务器强制执行 SSLv3。

现在我知道 openssl 不会自动处理这个问题。但我想象 squid 会这样做。

我的 squid conf 截图:

http_port 3128 ssl-bump 生成主机证书=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/certs/SquidCA.pem

always_direct 允许所有 ssl_bump 服务器优先所有 sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB

客户端持久连接开启 服务器持久连接开启

sslproxy_version 3

sslproxy_options 全部

cache_dir aufs /usr/local/squid/var/cache/squid 100 16 256

coredump_dir /usr/local/squid/var/cache/squid

strip_query_terms 关闭

httpd_suppress_version_string 开启

通过关闭

forwarded_for 透明

启用

刷新模式 ^ftp: 1440 20% 10080 刷新模式 ^gopher: 1440 0% 1440 刷新模式 -i (/cgi-bin/|\?) 0 0% 0 刷新模式 . 0 20% 4320

更新:我尝试使用 openssl 1.0.1h 编译 squid 3.4.5。没有改进

答案1

我认为 squid 没有实现任何逻辑来在连接失败时自动重试和 SSL 降级。因此您只有以下选项:

  • 按照您的建议将所有内容降级为 SSLv3。这不利于安全性,并且当服务器出于安全原因拒绝使用 SSLv3 连接时,可能会导致其他问题。
  • 不要使用无法处理现代 TLS 的服务器。如果他们甚至无法将服务器更新到最新的 TLS 版本,那么他们可能会遇到更多安全问题。
  • 对这些服务器做出明确的例外,以便它们不会受到 SSL 冲击。

答案2

现在我的 ssl-bump 规则已设置完毕,并且运行正常:

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1

这样,您就忽略了 SSL/TLS 的情况,并被告知只使用这些密码(按顺序向下查找,直到找到与之兼容的密码,而不管是否使用 SSL/TLS)。我通过我的服务器加载了您提到的两个网站,没有任何问题。

答案3

如果您更改 pFSense / 服务 / Squid 代理服务器 / 通用选项卡,则检查 SSL 中间人过滤区域并将 SSL/MITM 模式从 Splice WhiteList, Bumb OtherWise 更改为 Splice ALL

这个问题可以用这种形状来解决。

或者

使用带有 Splice WhiteList 的 SSL/MITM 模式的默认值,Bumb OtherWise 您可以转到 ACLs atb 并将所需的网站网址添加到白名单区域,即:online.kktcmaliye.com

相关内容