squid ssl凸点sslv3强制允许旧站点

Question

我已经将squid(3.4.2)配置为ssl碰撞代理。我在firefox(29)中设置了代理，用于https/http。现在它适用于大多数站点，但是一些支持旧sslv3(Sslv3)中断的站点，我看到squid没有为那些像浏览器这样的站点使用任何解决方案。

应该工作的站点：https://usc-excel.officeapps.live.com/、https://www.mahaconnect.in、https://kz.grfc.ru/portal/faces/app/materials/active.jspx

作为解决办法，我设置了sslproxy_version=3，它强制执行SSLv3和以上站点的工作。

我的问题是:是否有更好的方法可以避免对支持SSLv3或更好的服务器强制使用TLS1。

现在我知道openssl不会自动处理这个问题。但我想乌贼会。

我的鱿鱼狙击手：

http_port 3128 ssl-bump生成-主机证书=on dynamic_cert_mem_cache_size=4MB cert=/usr/dynamic_cert_mem_cache_size=4MB/squid/certs/SquidCA.pem always_direct允许所有ssl_bump服务器首先是sslcrtd_program /usr/sslcrtd_program/squid/libexec/ssl_crtd -s /usr/local/squid/var/lib/ssl_db -M 4MB client_persistent_connections on server_persistent_connections on sslproxy_version 3 sslproxy_options ALL cache_dir aufs /usr/local/squid/var/cache/squid 100 16 256 coredump_dir /usr/local/squid/var/cache/squid strip_query_terms关闭 httpd_suppress_version_string打开 通过关闭 forwarded_for透明 vary_ignore_expire打开 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi/-i) 0% 0 refresh_pattern。0 20% 4320

Answer 1

与堆栈溢出相比，此问题更多地与sync错误同步。我在那里找到了答案。https://serverfault.com/questions/604824/squid-ssl-bump-sslv3-enforce-to-allow-old-sites

我在这两个网站上都保留了相同的问题主题，如果有人在这里无意中发现了这个问题，而不是服务器错误，那么这个问题就是了。版主可以自由地将这个问题从堆叠溢出中剔除。

我不得不停止支持所有的密码openssl支持，并将我的自定义列表，将根据需要扩展。https://usc-excel.officeapps.live.com/支持RC4-MD5，所以我的密码列表是：

sslproxy_cipher EDH-RSA-DES-CBC3-SHA:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:RC4-MD5:HIGH:!aNULL:!MD5:!ADH