鱿鱼ssl bump sslv3强制允许旧网站

重要提示:我在stackoverflow上有这个问题,但有人告诉我这个问题更相关的地方。 谢谢

我configuration了squid(3.4.2)作为ssl bumped代理。 我设置代理在Firefox(29)使用SSH / HTTPS。 现在,它适用于大多数网站,但支持旧的SSL协议(sslv3)rest的一些网站,我看到鱿鱼没有采用任何解决方法,如浏览器做的。

应该工作的网站: https : //usc-excel.officeapps.live.com/,https : //www.mahaconnect.in

作为解决方法,我已经设置sslproxy_version = 3,这强制SSLv3和以上的网站工作。

我的问题是:有没有更好的方法来做到这一点,而不涉及为支持TLS1或更好的服务器实施SSLv3。

现在我知道openssl不会自动处理。 但我想象鱿鱼会。

我的鱿鱼conf snipper:

http_port 3128 ssl-bump generate-host-certificates = on dynamic_cert_mem_cache_size = 4MB cert = / usr / local / squid / certs / SquidCA.pem

always_direct允许所有ssl_bump服务器优先所有sslcrtd_program / usr / local / squid / libexec / ssl_crtd -s / usr / local / squid / var / lib / ssl_db -M 4MB

server_persistent_connections上的client_persistent_connections

sslproxy_version 3

sslproxy_options ALL

cache_dir aufs / usr / local / squid / var / cache / squid 100 16 256

coredump_dir / usr / local / squid / var / cache / squid

strip_query_termsclosures

httpd_suppress_version_string

通过closures

转发透明

vary_ignore_expire上

refresh_pattern ^ ftp:1440 20%10080 refresh_pattern ^ gopher:1440 0%1440 refresh_pattern -i(/ cgi-bin / | \?)0 0%0 refresh_pattern。 0 20%4320

更新:我已经尝试用openssl 1.0.1h编译鱿鱼3.4.5。 没有改进

我不认为鱿鱼实现任何逻辑自动重试和SSL降级,如果连接失败。 所以你只有以下选项:

  • 按照您的build议将所有内容降级到SSLv3。 这对安全性不利,并且可能会导致其他问题,当服务器出于安全原因拒绝与SSLv3连接时。
  • 不要使用无法处理现代TLS的服务器。 如果他们甚至无法将服务器更新到最近的TLS版本,则可能会有更多的安全问题。
  • 为这些服务器制定明确的例外情况,以免它们碰到SSL。

这里现在我的ssl-bump规则被设置,并且工作没有问题:

http_port 3128 http_port 3129 intercept https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB sslcrtd_children 50 startup=5 idle=1 

通过这种方式,您可以忽略SSL / TLS的情况,并告知只使用这些密码(不pipeSSL / TLS在使用什么密码),直到find与之兼容的密码为止。 我通过我的服务器加载了您提到的两个网站都没有问题。

如果您更改pFSense /服务/ Squid代理服务器/ GEneral选项卡然后检查SSL人在中间过滤区域并更改SSL / MITM模式从拼接白名单,Bumb OtherWise到拼接ALL

问题可以用这个形状来解决。

要么

用默认的SSL / MITM模式与Splice WhiteList,Bumb OtherWise你可以得到ACL的atb和添加desıred网站的URL到WhiteList区域,即:online.kktcmaliye.com