сквид ssl наталкивается, sslv3 осуществляют для разрешения старых сайтов
Я не думаю, что в squid реализована какая-либо логика для автоматического повторения попытки и перехода на более раннюю версию SSL в случае сбоя соединения. Итак, у вас есть только следующие варианты:
- Понизить все до SSLv3, как вы предлагаете. Это плохо для безопасности и, вероятно, вызовет другие проблемы, если серверы отказываются подключаться к SSLv3 по соображениям безопасности.
- Не используйте серверы, которые не могут работать с современным TLS. Если они не могут даже обновить свои серверы до последних версий TLS, у них, вероятно, намного больше проблем с безопасностью.
- Сделайте явные исключения для этих серверов, чтобы они не получали SSL.
Вот теперь мои правила ssl-bump настроены и работают без проблем:
http_port 3128
http_port 3129 intercept
https_port 3130 intercept ssl-bump connection-auth=off generate-host-certificates=on dynamic_cert_mem_cache_size=8MB cert=/etc/squid/ssl/squid.pem key=/etc/squid/ssl/squid.key cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH
sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid_ssl_db -M 8MB
sslcrtd_children 50 startup=5 idle=1
Таким образом вы игнорируете SSL / Ситуация с TLS, и ему сказано использовать только эти шифры (по мере продвижения вниз по списку, пока он не найдет тот, с которым он совместим, независимо от используемого SSL / TLS). Я без проблем загрузил оба упомянутых вами веб-сайта через свой сервер.
Если вы измените вкладку pFSense / Services / Squid Proxy Server / GEneral Затем проверьте SSL Man In The Middle Filtering площадь и измените Режим SSL / MITM от Splice WhiteList, Bumb OtherWise до Splice ALL
проблему можно решить с помощью этой формы.
ИЛИ
Со значением по умолчанию для режима SSL / MITM с Splice WhiteList, Bumb OtherWise вы можете перейти к спискам ACL atb и добавить желаемый URL-адрес веб-сайта в область белого списка, например: online.kktcmaliye.com