web-dev-qa-db-ja.com

一部のサイトでSSL用に構成されたSquidがチョークする

私はDebianStretchで実行されているSquid3.5.23を持っており、debソースから再コンパイルされ、透過プロキシとして構成されています。 SSLプロキシを許可するように構成を変更しましたが、生成されたSquid証明書を信頼されたルート機関としてインストールすると正常に実行されているようです。 Facebook、Google、Kernel.org、およびその他のほとんどのHTTPSサイトはOKを通過し、ブラウザはこれらのサイトの認証局がプロキシであると正しく認識します。現在、一部のサイトでは、証明書の警告が表示され、例外として受け入れるとエラーが表示されます。

https://elpais.com ->

The following error was encountered while trying to retrieve the URL: https://2.16.189.72/*

    Failed to establish a secure connection to 2.16.189.72

The system returned:

    (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)

    Handshake with SSL server failed: error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

This proxy and the remote Host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote Host does not support secure connections, or the proxy is not satisfied with the Host security credentials.

https://wiki.squid-cache.org/ (今thatは皮肉です)->次のエラーが発生しましたURLを取得しようとしている間: https://master.squid-cache.org/ *

    Failed to establish a secure connection to 104.130.201.120

The system returned:

    (71) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)

    SSL Certficate error: certificate issuer (CA) not known: /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3

This proxy and the remote Host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote Host does not support secure connections, or the proxy is not satisfied with the Host security credentials.

次のコマンドで証明書を生成しました。

openssl req -new -newkey rsa:4096 -days 3650 -nodes -x509\-keyout mycompany.pem -out mycompany.pem openssl x509 -in mycompany.pem -outform DER -out mycompany.der/usr/lib/squid/ssl_crtd -c -s/etc/squid/certs/ssl_db -M 4MB chown -R proxy.proxy ssl_db

手がかり?

1
JCCyC

結局、ブラウザのようにこれらの欠落した証明書のケースを処理するコードを含むSquid 4.0.21(現時点ではまだベータ版)をインストールすることで問題を解決しました。詳細 Squidのwikiのこのページ

0
JCCyC