Squid、HTTPS页间歇性和Windows 8/ IE11

Question

我有一个奇怪的问题，并设法复制这个问题在不同的位置，不同的安装鱿鱼。

我将把我的“问题”与我的鱿鱼服务器在家里。

运行Fedora 20 (32位)，使用Squid3.3.11、防火墙和iptables卸载/禁用。网络是IPv4。我有几台带有IE11的Windows 7机器和1xWindows8.1带有IE11的机器。

我的问题是，在关闭了IPv6协议的Windows8.1机器上，试图加载基于SSL的网页(如https://www.google.co.uk或https://www.facebook.com)，初始页面加载会导致错误。Subsiquent加载失败，部分失败(站点加载的IE主体，但进一步的SSL连接失败，如图像加载)或允许页面加载。奇怪的是，我没有打电话给我的银行网站有问题！我建议有些网站似乎比其他网站更难。

我的一个朋友也成功地在他用Windows8.1安装的squid服务器上复制了故障。他评论说，使用另一种浏览器，如火狐，问题得到了解决，因此似乎只限于Windows8.1和IE11

在失败的尝试中，使用Wireshark，我的机器将返回大量的TCP命令。

但是，使用IE11在我的Windows 7上加载相同的网站，或者使用IE8加载Windows，问题不会出现，直到我移动到Windows8.1时，我的Squid服务器出现了0的问题。

我的squid.conf是相当基本的，因为我只使用它来使用SquidGuard来过滤使用块列表的广告，尽管一项实验排除了SquidGuard在从squid.conf中删除相关行时的问题。

谢谢你的阅读，希望我们能找到真相！

我的鱿鱼配置的副本。

#squid normally listens to port 3128
http_port 3128

#Allow local machine
#acl manager proto cache_object
acl localhost src 192.168.20.6

# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

http_access allow localhost

# Define Local network
acl localnet src 192.168.20.0/24
http_access allow localnet

#Redirect for SquidGuard
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

# And finally deny all other access to this proxy
http_access deny all

Answer 1

我发现了它:在IE11中禁用SPDY/3 Protokol (Extras.)

Answer 2

这可能与IE11禁用RC4和在初始握手中使用TLS1.2有关，参见http://blogs.msdn.com/b/ie/archive/2013/11/12/ie11-automatically-makes-over-40-of-the-web-more-secure-while-making-sure-sites-continue-to-work.aspx。不幸的是，许多主机仍然需要RC4，如果客户端不提供此密码，可能会失败。其他主机在使用TLS1.2时也会发出咯咯声，例如，它们只是关闭连接(如当前的bmwi.de)，或者只是删除请求(通常是前面一个较旧的F5大IP负载均衡器)。

我从Chrome中得知，它只是在TLS 1.1中立即重试一个失败的TLS 1.2请求。也许IE11会做不同的事情，例如不会立即重试，但是只会记住失败并在用户重试的情况下解决它。或者，只有与代理一起使用时，它才会以这种方式运行。

如果图像是从不同的主机名(例如images.whatever而不是www.whatever )加载的，有时会得到整个页面，有时只有第二个请求中的html才会是这种情况。在本例中，它最初与www.whatever进行了一次失败的握手，在成功地用降级的SSL重试之后，它接收到带有来自images.whatever的包含的HTML。然后，它将访问images.whatever，并在SSL中运行相同的问题，这样页面将保持w/o图像，直到再次重试。

如果我的理论是正确的，您应该在wireshark中看到初始失败将SSL客户端Hello消息与TLS 1.2版本连接起来，并且在提供的密码列表中不应该包含RC4。在第二个连接(成功)中，您应该在客户端Hello的密码列表中看到RC4，也许它还将使用TL1.1或FocusTLS1.0而不是TLS1.2。