Ich betreibe einen https-Proxy, der SSL abfängt, und habe das Problem gelöst, sodass ich es aufzeichnen werde. Die zu verwendende Umgebung ist die folgende, die beim letzten Mal erstellt wurde. ** Proxy mit Active Directory-Verknüpfung und SSL-Abfangen mit Squid mit Docker einfach erstellen **
Beim Versuch, eine Verbindung zur folgenden Site herzustellen, tritt ein Fehler auf. https://blog.goo.ne.jp/
Der Inhalt des Fehlers ist (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) Handshake with SSL server failed: error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small Es war das.
Der Fehler tls_process_ske_dhe: dh key too small
.
Es scheint abgestoßen zu werden, da das Serverzertifikat kürzer ist als die von squid erforderliche DH-Schlüssellänge.
CentOS8 verfügt über einen Mechanismus namens "Kryptorichtlinien", der die Verschlüsselungsrichtlinien im gesamten System zentral zu verwalten scheint. Die Richtlinie wird von Voreinstellungen verwaltet und in der Reihenfolge LEGACY / DEFAULT / FIPS / FUTURE strenger.
Sie können die aktuellen Einstellungen mit dem Befehl update-crypto-Policies --show
überprüfen.
# update-crypto-policies --show
DEFAULT
Referenziert ** RHEL8-Site * In * beträgt die DH-Schlüssellänge von DEFAULT mindestens 2048 Bit. Wenn dies auf LEGACY eingestellt ist, ist eine kurze DH-Schlüssellänge akzeptabel.
Das Verringern des Pegels des gesamten Systems ist jedoch etwas schwierig.
Die Anweisung tls_outgoing_options in squid.conf
hat den Verschlüsselungssatz angegeben. Versuchen wir es also.
squid.conf
tls_outgoing_options cipher=DEFAULT:@SECLEVEL=1
Das ist in Ordnung
Ich durfte mich beziehen. http://www.squid-cache.org/Doc/config/tls_outgoing_options/ https://yoku0825.blogspot.com/2019/12/centos-80url-error141a318assl.html https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/8/html/security_hardening/using-the-system-wide-cryptographic-policies_security-hardening https://stackoverflow.com/questions/53058362/openssl-v1-1-1-ssl-choose-client-version-unsupported-protocol
Recommended Posts