web-dev-qa-db-ja.com

古いサイトを許可するためにイカのsslバンプsslv3を実施

重要:私はスタックオーバーフローについてこの質問をしましたが、誰かがこれがこの質問にとってより適切な場所であると私に言いました。ありがとう

Squid(3.4.2)をsslバンププロキシとして構成しました。 firefox(29)でプロキシを設定して、https/httpにsquidを使用しています。今ではほとんどのサイトで動作しますが、古いSSL proto(sslv3)をサポートする一部のサイトは壊れており、ブラウザのようなものに対してはsquidが回避策を採用していないようです。

機能するはずのサイト: https://usc-Excel.officeapps.live.com/https://www.mahaconnect.in

回避策として、sslproxy_version = 3を設定しました。これにより、SSLv3以降のサイトが機能します。

私の質問:TLS1以上をサポートするサーバーにSSLv3を強制することを含まない、これを行うより良い方法はありますか?.

Opensslがそれを自動的に処理しないことを知っています。しかし、私はイカがそうするだろうと想像しました。

私のイカ設定スニッパー:

http_port 3128 ssl-bump generate-Host-certificates = on dynamic_cert_mem_cache_size = 4MB cert =/usr/local/squid/certs/SquidCA.pem

always_directすべてのssl_bumpサーバーを最初に許可すべてのsslcrtd_program/usr/local/squid/libexec/ssl_crtd -s/usr/local/squid/var/lib/ssl_db -M 4MB

server_persistent_connectionsのclient_persistent_connections

sslproxy_version 3

sslproxy_options ALL

cache_dir aufs/usr/local/squid/var/cache/squid 100 16256

coredump_dir/usr/local/squid/var/cache/squid

strip_query_terms off

httpd_suppress_version_string on

オフ経由

forwarded_forトランスペアレント

vary_ignore_expire on

refresh_pattern ^ ftp:1440 20%10080 refresh_pattern ^ Gopher:1440 0%1440 refresh_pattern -i(/ cgi-bin/| \?)0 0%0 refresh_pattern。 0 20%4320

更新:openssl 1.0.1hでsquid 3.4.5をコンパイルしてみました。改善なし

3
Shrey

Squidは、接続が失敗した場合に自動的に再試行してSSLダウングレードするロジックを実装していないと思います。したがって、次のオプションしかありません。

  • あなたが提案するようにすべてをSSLv3にダウングレードしてください。サーバーがセキュリティ上の理由でSSLv3との接続を拒否した場合、これはセキュリティに悪影響を及ぼし、おそらく他の問題を引き起こすでしょう。
  • 最新のTLSに対応できないサーバーは使用しないでください。サーバーを最新のTLSバージョンに更新することさえできない場合、おそらくもっと多くのセキュリティ問題があります。
  • これらのサーバーに対して明示的な例外を作成し、SSLがぶつからないようにします。
3
Steffen Ullrich

これが私のssl-bumpルールが設定されたもので、問題なく動作します:

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-Host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1

このように、SSL/TLSの状況を無視すると、それらの暗号のみを使用するように指示されます(使用中のSSL/TLSに関係なく、互換性のある暗号が見つかるまで、リストを下に向かって進みます)。私はあなたが言及した両方のウェブサイトを私のサーバーを通して問題なくロードしました。

1
user226231