我已将squid(3.4.2)配置为ssl bumped proxy。我在firefox(29)中设置代理使用squid作为https / http。 现在它适用于大多数站点,但是一些支持旧SSL原型(sslv3)的站点中断了,我发现squid没有为浏览器那样使用任何变通方法。
应该有效的网站:https://usc-excel.officeapps.live.com/,https://www.mahaconnect.in,https://kz.grfc.ru/portal/faces/app/materials/active.jspx
作为一种解决方法,我设置了sslproxy_version = 3,它强制执行SSLv3及以上网站。
我的问题:有没有更好的方法来执行此操作,不涉及为支持TLS1或更好的服务器强制执行SSLv3。
现在我知道openssl并没有自动处理。但我想象鱿鱼会。
我的squid conf snipper:
http_port 3128 ssl-bump generate-host-certificates = on dynamic_cert_mem_cache_size = 4MB cert = / usr / local / squid / certs / SquidCA.pem
always_direct允许所有 ssl_bump服务器优先全部 sslcrtd_program / usr / local / squid / libexec / ssl_crtd -s / usr / local / squid / var / lib / ssl_db -M 4MB
client_persistent_connections on
上的server_persistent_connectionssslproxy_version 3
sslproxy_options ALL
cache_dir aufs / usr / local / squid / var / cache / squid 100 16 256
coredump_dir / usr / local / squid / var / cache / squid
strip_query_terms off
httpd_suppress_version_string
通过关闭
forwarded_for transparent
上的vary_ignore_expire
refresh_pattern ^ ftp:1440 20%10080 refresh_pattern ^ gopher:1440 0%1440 refresh_pattern -i(/ cgi-bin / | \?)0 0%0 refresh_pattern。 0 20%4320
答案 0 :(得分:1)
这个问题与Serverfault比stackoverflow更加同步。我在那里得到了答案。 https://serverfault.com/questions/604824/squid-ssl-bump-sslv3-enforce-to-allow-old-sites
我在两个网站上保持问题主题相同并留下这个问题,以防有人在这里偶然发现这个问题,而不是服务器故障。版主可以自由地将这个问题从stackoverflow中删除。
我不得不停止支持所有密码openssl支持并放置我的自定义列表,该列表将根据需要进行扩展。 https://usc-excel.officeapps.live.com/支持RC4-MD5,因此我的密码列表是:
sslproxy_cipher EDH-RSA-DES-CBC3-SHA:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA: RC4-SHA:RC4-MD5:HIGH:A零位:MD5:ADH