[LINUX] [https Proxy mit Tintenfisch] Beheben Sie den Fehler, der mit einem zu kleinen Dh-Schlüssel aufgetreten ist

Einführung

Ich betreibe einen https-Proxy, der SSL abfängt, und habe das Problem gelöst, sodass ich es aufzeichnen werde. Die zu verwendende Umgebung ist die folgende, die beim letzten Mal erstellt wurde. ** Proxy mit Active Directory-Verknüpfung und SSL-Abfangen mit Squid mit Docker einfach erstellen **

Was ist passiert

Beim Versuch, eine Verbindung zur folgenden Site herzustellen, tritt ein Fehler auf. https://blog.goo.ne.jp/

Screenshot from Gyazo

Der Inhalt des Fehlers ist (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) Handshake with SSL server failed: error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small Es war das.

Ursachenforschung

Der Fehler tls_process_ske_dhe: dh key too small. Es scheint abgestoßen zu werden, da das Serverzertifikat kürzer ist als die von squid erforderliche DH-Schlüssellänge.

CentOS8 verfügt über einen Mechanismus namens "Kryptorichtlinien", der die Verschlüsselungsrichtlinien im gesamten System zentral zu verwalten scheint. Die Richtlinie wird von Voreinstellungen verwaltet und in der Reihenfolge LEGACY / DEFAULT / FIPS / FUTURE strenger.

Sie können die aktuellen Einstellungen mit dem Befehl update-crypto-Policies --show überprüfen.

# update-crypto-policies --show
DEFAULT

Referenziert ** RHEL8-Site * In * beträgt die DH-Schlüssellänge von DEFAULT mindestens 2048 Bit. Wenn dies auf LEGACY eingestellt ist, ist eine kurze DH-Schlüssellänge akzeptabel.

Das Verringern des Pegels des gesamten Systems ist jedoch etwas schwierig.

Lösungen

Die Anweisung tls_outgoing_options in squid.conf hat den Verschlüsselungssatz angegeben. Versuchen wir es also.

squid.conf


tls_outgoing_options cipher=DEFAULT:@SECLEVEL=1

Screenshot from Gyazo

Das ist in Ordnung

Quelle

Ich durfte mich beziehen. http://www.squid-cache.org/Doc/config/tls_outgoing_options/ https://yoku0825.blogspot.com/2019/12/centos-80url-error141a318assl.html https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/8/html/security_hardening/using-the-system-wide-cryptographic-policies_security-hardening https://stackoverflow.com/questions/53058362/openssl-v1-1-1-ssl-choose-client-version-unsupported-protocol

Recommended Posts

[https Proxy mit Tintenfisch] Beheben Sie den Fehler, der mit einem zu kleinen Dh-Schlüssel aufgetreten ist
[https-Proxy mit Tintenfisch] So stellen Sie eine Whitelist von https mit url_regex dar
Wertesortierung eines Wörterbuchs mit einer komplizierten Struktur (Sortierung nach Schlüsselstruktur nach tiefem Wert)