大约两周前,用户开始报告他们无法访问两个仅支持 https 的网站。当我检查这些网站时,我发现它们完全不能容忍 TLS。要进行连接,需要 SSL3,并且必须在浏览器中禁用 TLS(1.0-1.2)。现在,通过此解决方法,用户可以连接,但是我们发现有些用户根本不需要这样做 - 回退到 SSL3 仍然正常工作(与以前一样)。起初我以为这是某种 POODLE 缓解措施,但这似乎不是问题所在。当不在我们的内部网络上时,所有网站都可以访问(我可以在家中使用 Chrome 和 IE 的默认设置访问它们)。唯一的区别是这些网络在工作时会通过 zScaler 代理。但是,有时我们能够在不更改内部网络的任何设置的情况下进行连接,代理完好无损,这让我相信代理不是罪魁祸首(这是我的第一个想法)。我们唯一的其他想法是,这可能与我们的 2 个 GRE 路由器路由流量的方式有关。我们还应该研究其他什么吗?
答案1
目前,没有主流浏览器默认禁用 SSL 3.0(通常有手动禁用 SSL 3.0 的选项),并且所有浏览器都实施了后备措施,以防 TLS 不起作用。这意味着直接连接在大多数情况下应该可以正常工作。
我没有看到 Zscaler 的官方声明,说明他们在 HTTPS 拦截中如何应对 POODLE,但可能他们只是在禁用 SSL 3.0。这意味着在某些情况下,当您的连接通过 Zscaler 代理时,它仍会工作,而在其他情况下,SSL 3.0 已被阻止。