O proxy Bluecoat expira em determinados sites https

1

Temos alguns ProxySGs. A versão é SGOS 6.4. Eles são configurados no modo explícito. Significado para solicitações https: eles são sintonizados pela porta 80 do endereço IP do proxy.

Qualquer pessoa usando uma configuração semelhante, tente o seguinte endereço de folha de estilo CSS de um provedor de webmail francês e explique por que leva 30 segundos ou mais para carregar no proxy (se for esse o caso em seu site):

link

Eu tentei vários ProxySGs por trás de diferentes conexões com a Internet. Quando eu vou direto, não há problema. Não importa qual navegador eu uso, tentei o IE no Windows, FF no Windows, FF no Linux. Por meio do proxy, há tempos de espera terríveis para esse site, impossibilitando o uso desde que eles atualizaram o site há mais ou menos um ano.

Eu também tentei passar por um proxy explícito do Squid: não há problema!

Eu estou perdido aqui.

  • Eles estão usando algo dentro do HTTP em que o ProxySG está sufocando?
  • Há algo de errado com o SSL? Eu vejo o seu certificado nem sempre parece corresponder ao seu nome de host real (laposte.net vs. laposte.fr) ...
  • Eu tinha concluído o rastreamento de política do SG ligado, mas não vi nenhum erro aparente, não houve correspondência na lista negra ou algo semelhante (o que não levaria mais de 30 segundos para avaliar de qualquer forma)

Coisa engraçada: Usando o wget na mesma caixa do Linux com o FF instalado, ambos através do proxy, o wget faz o download do arquivo sem nenhum atraso.

Por favor, avise:)

Veja a captura de pacotes abaixo (à esquerda = PC para proxy, à direita = proxy para internet)

    
por Marki 20.05.2015 / 19:10

1 resposta

0

Novamente, isso é muito louco.

Isso parece acontecer devido a uma estranha interação entre o SO Bluecoat e (desatualizado) o F5 usado no outro lado. Mais especificamente, o algoritmo de evasão de janela de janela tosca TCP (SWS) do Bluecoat parece acionar isso:

link

Agora, a questão é: desabilitar a evasão do SWS quebraria outra coisa? Eu não sei, mas vou investigar.

Como os F5s da outra parte estão desatualizados, pode-se até mesmo fazer o login e a atualização; -)

    
por 28.05.2015 / 22:23