1. дома
  2. Вопрос и ответ
  3. Могу ли я использовать Squid для обновления клиентских TLS-соединений?

Могу ли я использовать Squid для обновления клиентских TLS-соединений?

2015-12-21 5 views
2

Я пытаюсь разрешить устаревшим системам (CentOS 5.x) продолжать устанавливать соединения с службами, которые в ближайшее время разрешат только подключения TLS v1.1 или TLS v1.2 (Salesforce, различные платежные шлюзы и т. Д.)Могу ли я использовать Squid для обновления клиентских TLS-соединений?

Я установил Squid 3.5 на сервере Centos 7 в контейнере докеров, и я пытаюсь настроить squid, чтобы поднять SSL-соединения. Я думал, что, поскольку squid действует как MITM и открывает одно соединение с клиентом, а другое - с целевым сервером, он будет согласовывать соединение TLS 1.2 с целью, в то время как клиент соединяется с SSLv3 или TLS 1.0.

Я здесь совершенно вне базы, или это что-то должно быть возможно? Если Squid не может этого сделать, есть ли другие прокси-серверы?

Моя текущая конфигурация кальмар выглядит следующим образом:

access_log  /var/log/squid/access.log 
cache_log  /var/log/squid/cache.log 

cache_store_log none 
cache   deny all 

http_access  allow all 
http_port  3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on version=1 

ssl_bump  stare all 
ssl_bump  bump all

источник

2015-12-21 Brownoxford

+0

эй, я тоже сталкиваюсь с этим, вы когда-нибудь это выяснили? – user1914292

ответ

0

Я был в состоянии получить эту работу лишь натыкаясь на step1, а не заглядывать или смотреть. Окончательная конфигурация, которую я использовал (с комментариями), приведен ниже:

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB 

# Write access and cache logs to disk immediately using the stdio module. 

access_log stdio:/var/log/squid/access.log 
cache_log /var/log/squid/cache.log 

# Define ACLs related to ssl-bump steps. 

acl step1 at_step SslBump1 
acl step2 at_step SslBump2 
acl step3 at_step SslBump3 

# The purpose of this instance is not to cache, so disable that. 

cache_store_log none 
cache   deny all 

# Set up http_port configuration. All clients will be explicitly specifying 
# use of this proxy instance, so https_port interception is not needed. 

http_access allow all 
http_port 3128 ssl-bump cert=/etc/squid/certs/squid.pem \ 
      generate-host-certificates=on version=1 

# Bump immediately at step 1. Peeking or staring at steps one or two will cause 
# part or all of the TLS HELLO message to be duplicated from the client to the 
# server; this includes the TLS version in use, and the purpose of this proxy 
# is to upgrade TLS connections. 

ssl_bump bump step1 all

источник

2016-05-25 13:30:04 Brownoxford

+0

Предупреждение для всех, кто пытается этот конфиг: он работает, удаляя * все * данные безопасности TLS сервера от деталей, переданных клиенту. Это приводит к повышенной уязвимости ко всем видам атак и другим проблемам связи. Поэтому максимально ограничьте использование шага 1. –

Смежные вопросы

 Смежные вопросы