squid ssl bump sslv3 impor para permitir sites antigos

Navegue suas respostas
3

Importante: Eu tenho essa pergunta no stackoverflow, mas alguém me disse que esse é o lugar mais relevante para essa pergunta. Obrigado

Eu configurei o squid (3.4.2) como proxy de SSL. Estou definindo proxy no firefox (29) para usar o squid para https / http. Agora funciona para a maioria dos sites, mas para alguns sites que suportam quebra antiga de proto SSL (sslv3), e eu vejo o squid não empregando quaisquer soluções alternativas para aqueles como os navegadores.

Sites que devem funcionar: link , link

Como solução alternativa, configurei sslproxy_version = 3, que impõe o trabalho SSLv3 e superior.

Minha pergunta: existe uma maneira melhor de fazer isso, o que não envolve impor o SSLv3 para servidores que suportam TLS1 ou melhor.

Agora sei que o openssl não lida automaticamente com isso. Mas eu imaginei lula seria.

Minha lula conf snipper:

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/certs/SquidCA.pem

always_direct allow all ssl_bump server-first all sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB

client_persistent_connections on server_persistent_connections on

sslproxy_version 3

sslproxy_options ALL

cache_dir aufs /usr/local/squid/var/cache/squid 100 16 256

coredump_dir /usr/local/squid/var/cache/squid

strip_query_terms off

httpd_suppress_version_string on

via off

forwarded_for transparent

vary_ignore_expire on

refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320

UPDATE: Eu tentei compilar o squid 3.4.5 com o openssl 1.0.1h. Nenhuma melhoria

    
por Shrey 13.06.2014 / 07:49

3 respostas

3

Eu não acho que o squid implemente qualquer lógica para tentar novamente automaticamente e o downgrade do SSL se a conexão falhar. Então você tem apenas as seguintes opções:

  • Faça o downgrade de tudo para SSLv3 como você propõe. Isso é ruim para a segurança e provavelmente causará outros problemas, quando os servidores se recusarem a se conectar ao SSLv3 por motivos de segurança.
  • Não use servidores que não podem lidar com o TLS moderno. Se eles não conseguirem atualizar seus servidores para versões recentes do TLS, provavelmente terão muito mais problemas de segurança.
  • Faça exceções explícitas para esses servidores, para que eles não recebam SSL.
por 13.06.2014 / 08:50
1

Aqui está agora as minhas regras de ssl-bump são configuradas e funciona sem problemas: 

http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1

Desta forma, você ignora a situação SSL / TLS e é dito para usar apenas essas cifras (em progressão na lista até encontrar uma que seja compatível, independentemente do SSL / TLS em uso). Eu carreguei os dois sites que você mencionou sem problemas através do meu servidor.

    
por 13.06.2014 / 23:13
-1

Se você alterar a guia pFSense / Services / Squid Proxy Server / GEneral Em seguida, verifique o SSL Man In The Middle Filtering área e mudar o Modo SSL / MITM de Splice WhiteList, Bumb OtherWise para a Splice ALL

o problema pode ser resolvido com essa forma.

OR

Com um valor padrão do modo SSL / MITM com Splice WhiteList, Bumb OtherWise você pode ir para ACLs atb e adicionar o URL do site desejado à área do WhiteList, por exemplo: online.kktcmaliye.com

    
por 09.07.2017 / 20:52

Tags

Como ativar leds de HDD no HP MDS 600 / HP D6000? Os serviços do 2012 R2 não serão iniciados após a promoção para o Controlador de Domínio