程序员经验分享-hwhale

我可以使用 Squid 升级客户端 TLS 连接吗?

2023-12-07

我正在尝试允许旧系统(CentOS 5.x)继续与服务建立连接,这些服务很快将仅允许 TLS v1.1 或 TLS v1.2 连接(Salesforce、各种支付网关等)

我已经在 Centos 7 服务器上的 docker 容器中安装了 Squid 3.5,并尝试配置鱿鱼来碰撞 SSL 连接。我的想法是,由于鱿鱼充当 MITM 并打开一个到客户端的连接和一个到目标服务器的连接,因此当客户端使用 SSLv3 或 TLS 1.0 连接时,它会协商到目标的 TLS 1.2 连接。

我在这里完全偏离基地了吗?或者这是应该有可能的事情吗?如果 Squid 不能做到这一点,还有其他代理可以吗?

我当前的鱿鱼配置如下所示:

access_log      /var/log/squid/access.log
cache_log       /var/log/squid/cache.log

cache_store_log none
cache           deny all

http_access     allow all
http_port       3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on version=1

ssl_bump        stare all
ssl_bump        bump all

我只需要在步骤 1 中碰撞,而不是偷看或凝视,就可以完成这项工作。我使用的最终配置(带注释)如下:

sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

# Write access and cache logs to disk immediately using the stdio module.

access_log stdio:/var/log/squid/access.log
cache_log  /var/log/squid/cache.log

# Define ACLs related to ssl-bump steps.

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3

# The purpose of this instance is not to cache, so disable that.

cache_store_log none
cache           deny all

# Set up http_port configuration. All clients will be explicitly specifying
# use of this proxy instance, so https_port interception is not needed.

http_access allow all
http_port   3128 ssl-bump cert=/etc/squid/certs/squid.pem \
            generate-host-certificates=on version=1

# Bump immediately at step 1. Peeking or staring at steps one or two will cause
# part or all of the TLS HELLO message to be duplicated from the client to the
# server; this includes the TLS version in use, and the purpose of this proxy
# is to upgrade TLS connections.

ssl_bump bump step1 all
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

SSL

proxy

squid

我可以使用 Squid 升级客户端 TLS 连接吗? 的相关文章

  • 如何使用代理将 boost::asio 连接到 HTTPS 服务器?

    在我们的应用程序中 我们使用 boost asio 来使用 HTTP 和 HTTPS 进行连接 我们还可以使用 HTTP 代理 现在我需要使用代理添加对 HTTPS 服务器的支持 我研究了相当多的样本 发现所需的步骤似乎是 创建到代理的 H

  • Spring Boot 是否支持服务器名称指示(SNI)?

    Spring Boot 是否支持服务器名称指示 SNI 具体来说 运行嵌入式 Tomcat 服务器并打包为可执行 jar 文件的 Spring Boot 2 2 2 RELEASE 应用程序是否可以根据传入请求的主机名支持多个 SSL 证书

  • 如何在 Java 中获得无代理连接?

    我如何避免经历ProxySelector当与URLConnection或者更确切地说 如何获得保证不受 Java 知道的任何代理的连接 我以为这是什么代理 NO PROXY http docs oracle com javase 8 doc

  • HTTP 到 HTTPS 301 重定向代码不起作用,显示重定向过多

    我正在为我的网站之一使用 Bluehost 最近 最近 我已将我的网站从 HTTP 迁移到 HTTPS 之后 我使用了不同的代码 包括以下代码 在我的网站上强制使用 HTTPS SSL Rewrite RewriteEngine On Re

  • if 不是 localhost 语句 htaccess

    我目前强迫访问者通过 https 访问我的所有网站 主要是 Wordpress 我使用以下代码 RewriteEngine On RewriteCond HTTPS on RewriteRule https SERVER NAME REQU

  • 配置 PIP 以在代理后面工作

    我已经安装了 python 3 4 3 附带pip 我想从代理后面使用 pip 所以我执行了以下操作 Created C Users foo pip pip ini并添加了代理配置部分 proxy export http proxy my

  • 使用普通用户和 https 的 gitea

    我正在尝试设置 gitea 以使用 https 和我从 LetsEncrypt 获得的证书 运行该服务作为普通用户 我已经让它与普通用户在端口 80 上使用 http 一起工作git并使用 iptables 将端口 80 重定向到端口 30

  • 使用 Connect 和 node-http-proxy 的 HTTP 代理

    在开发过程中 我需要一个 HTTP 代理来访问外部 API 以绕过跨域安全限制 我在这里找到了一些示例代码 http nthloop com blog local dev with nodejs proxy http nthloop com

  • Autowired spring bean 不是代理

    我正在开发一个连接到 MySQL 数据库的非常小的应用程序 我正在尝试创建表记录 但收到 没有正在进行的事务 我已经准备好了所有正确的东西 服务接口 MyService 及其实现 MyServiceImpl 我已经用 Service 注释了

  • AWS EC2 应用程序负载均衡器 + 双向 SSL?

    是否可以使用 AWS Application Load Balancer 并使用双向 ssl 客户端证书 我当前的设置使用经典的 ELB 通过 tcp 转发到 Web 服务器端点来支持此操作 我现在需要使用 URL 路由流量 并希望在可能的

  • SSL如何使用对称和非对称加密?如何管理一台主机上多个站点的认证? [复制]

    这个问题在这里已经有答案了 首先 引用微软TechNet的一些内容管理 Microsoft 证书服务和 SSL http technet microsoft com en us library bb727098 aspx 回顾一下 安全 S

  • 如何在flutter中绕过SSL证书验证?

    如何在flutter中绕过SSL证书验证 错误 握手异常 客户端中的握手错误 操作系统错误 CERTIFICATE VERIFY FAILED 自签名证书 handshake cc 345 您需要配置 HttpService 以使用自签名

  • 如何使用 Gmail 的 SMTP 和 Indy 10 发送电子邮件?

    我正在使用 Delphi 2009 和 svn 中最新的 Indy 10 通过 SMTP 发送电子邮件 但它不适用于 Gmail Google Apps 托管域 当我尝试发送电子邮件时 我收到 必须首先发出 STARTTLS 命令 我尝试用

  • IIS 8 HTTPS/需要 SSL 导致超时错误

    尝试通过 IIS 8 通过 SSL 发布网站 但出现超时错误 任何帮助表示赞赏 采取的步骤 已验证该网站可以通过 HTTP 访问 http xxx xxx xxx xxx有效 此时使用 IP 地址 如果重要的话 IIS gt 服务器证书 g

  • Visual Studio 错误:(407:需要代理身份验证)

    我位于需要凭据的公司代理服务器后面 我一直在尝试连接到 TFS 服务器 在 tfspreview com 上 微软 Visual Studio 专业版 2012最后2个小时没有成功 每次尝试都会遇到此错误 当我启动集成浏览器时 它工作正常

  • 通过SOCKS代理连接Kafka

    我有一个在 AWS 上运行的 Kafka 集群 我想用标准连接到集群卡夫卡控制台消费者从我的应用程序服务器 应用程序服务器可以通过 SOCKS 代理访问互联网 无需身份验证 如何告诉 Kafka 客户端通过代理进行连接 我尝试了很多事情 包

  • 从 cocoa 编辑系统偏好设置

    有没有办法使用可可以编程方式编辑系统首选项 是否需要一些框架 我需要这样做来更改全局代理设置 另外 我的应用程序是沙盒的 有关于如何执行此操作的示例代码吗 感谢您的帮助 您正在寻找系统配置框架 但这并不容易 我认为沙盒应用程序不可能这样做

  • .NET-MVC - 通过 SSL 重写 URL + 某些 URL?

    我有一个运行 IIS 6 NET MVC 和单个域名的网络服务器 该网站使用 URL 重写来生成如下 URL 域名 com controller action 我愿意强行一 1 个控制器 to use SSL 其他的应该无需 SSL 即可工

  • Google Chrome 中的 ERR_SSL_CLIENT_AUTH_SIGNATURE_FAILED

    我有一个使用 SSL 客户端证书授权的网站 所有客户端证书都是使用 OpenSSL 生成的并且是自签名的 一切都适用于所有网络浏览器 但推荐的是 Google Chrome 因为它使用与 IE 相同的 SSL 仓库 因此证书安装非常简单 点

  • p2p 通信中的对等方如何相互验证?

    WebRTC 中的对等点如何相互验证 WebRTC 中的 DTLS 使用自签名证书 RFC 5763 https www rfc editor org rfc rfc5763具有详细信息 简而言之 证书指纹与 SDP 的 a fingerp

随机推荐

  • 为什么A | B 允许两者结合,我该如何防止呢?

    我惊讶地发现 TypeScript 不会抱怨我做这样的事情 type sth value number data string value number note string const a sth value 7 data test c

  • 如何在 Java 应用程序中添加文件浏览器?

    我是 Java 编程新手 正在构建一个应用程序 该应用程序将添加 显示和删除给定文件夹位置中的文件 我已经使用 JFileChooser 添加了文件 并且知道如何删除这些文件 然而我被显示部分困住了 我想在我的应用程序中使用不同的图标显示文

  • 在 Fortran 90 中使用模块内部的子例程

    我有一个关于在 Fortran 90 中的模块内使用子例程的问题 这是我的代码 Module Multiplication Subroutine Two times input output Real input output output

  • Castle.Windsor 和 HttpContextWrapper

    HttpContextWrapper 和 HttpContextBase 如在这里解释 被引入是为了使 HttpContext 更加可模拟 可测试 我正在尝试使用它S arp 架构 并遇到一些问题 我的 MVC 控制器设置为在构造函数中接受

  • Python:Matplotlib - 多个数据集的概率图

    我有几个数据集 分布 如下 set1 1 2 3 4 5 set2 3 4 5 6 7 set3 1 3 4 5 8 如何使用上面的数据集绘制散点图 其中 y 轴是概率 即集合中分布的百分位数 0 100 x 轴是数据集名称 在 JMP 中

  • libstdc++ 是可重入库吗?

    我在 MAC 上使用 libstdc 来开发 Firefox 的扩展 当我在多个 Firefox 扩展中引用 libstdc 库时 我在 libstdc 库中遇到崩溃 我在想XCode编译器的libstdc 是否可重入 如果没有 是否有任何

  • 在Python命令行上定义函数时出现语法错误

    我正在尝试在 Python REPL 上定义一个函数 每次我尝试运行下面的代码时 都会收到语法错误 Code def hello print Hello hello Error C Users Desktop gt python Pytho

  • SSIS - 脚本任务:使用带有动态文件路径的 VBscript 替换文本文件中的 TEXT

    我正在使用 SSIS 脚本任务来替换文本文件中的文本 在我的 VB 脚本中 脚本中硬编码了文件路径 但我想改用用户变量 Const ForReading 1 Const ForWriting 2 Dim objFSO objFile str

  • 在 CMD 中检测可移动驱动器盘符

    我正在尝试编写一个脚本 它将检测我的 USB 可移动驱动器的字母 UUI 然后在其上创建文件夹 我为 CMD 编写了一些命令 这些命令单独运行时可以工作 然而 当我将它们放入bat文件中时 我总是会遇到一些错误 下面是bat文件中的命令 f

  • 从流图像创建视频 C#

    如何在 C 中从流图像 只有图像 没有声音 构建视频 这是我的应用程序的一些代码 static int ii 1 public void drawBitmap byte data MemoryStream ms new MemoryStre

  • 当浏览器不支持媒体查询时到底会发生什么?

    我正在使用媒体查询构建我的网站以适应不同的屏幕尺寸 巧合的是 我在一台旧电脑上用未更新的浏览器检查了我的网站 发现我得到的是移动内容和桌面内容的混合体 但是我没有办法查看代码 因为没有安装萤火虫或类似的东西 我的问题是如果浏览器不接受 cs

  • 在正则表达式字符括号中包含连字符?

    validator addMethod AZ09 function value return a zA Z0 9 test value Only letters numbers and are allowed 当我使用类似的东西时test

  • 条件中额外的括号有意义吗?

    我正在使用一些较旧的 JavaScript 代码 并偶然发现在如下情况下广泛使用额外的括号 if foo if bar if lorem ipsum if functionCall1 functionCall2 这种做法有意义吗 我是否不知

  • 在画布单词搜索游戏中创建线条

    I created word search game in canvas Now I want when user select character for determine word draw line for highlight th

  • 使用 WM_SETFOCUS 和 WM_KILLFOCUS

    在 Delphi 中 我有两个编辑框和一个按钮 默认选择 Edit1 我想使用消息来改变焦点 但如果我按照下面的方法做 那么这一切都会因为两个编辑中的选择范围 插入符号在错误的框中等而变得混乱 我使用消息的原因是这样我可以控制外部应用程序中

  • Spring 事务和 hibernate.current_session_context_class

    我有一个使用 Hibernate 4 和 Spring Transactions 的 Spring 3 2 应用程序 所有方法都运行良好 我可以正确访问数据库以保存或检索实体 然后 我引入了一些多线程 由于每个线程都访问数据库 我从 Hib

  • 尝试加载“Oracle”dbDriver 时出现 ORA-01804 错误

    我在用着ROracle并在 R 中执行以下命令 Sys getenv drv lt dbDriver Oracle 这是我在最后一行之后得到的错误 Error in oci Driver oci drv interruptible inte

  • python 正则表达式转义字符

    We have gt gt gt str exit r ndrwxr xr x 2 root root 0 Jan 1 2000 x1b 1 34mbin x1b 0m r ndrwxr xr x 3 root root 0 Jan 1 2

  • 重塑/收集功能可创建用于多级分析的数据集

    我有一个很大的数据集 其中 240 个病例代表 240 名患者 他们都接受了神经心理学测试并填写了调查问卷 此外 他们的重要其他人 以下简称 代理人 也填写了调查问卷 由于 患者 和 代理 嵌套在 夫妇 中 因此我想在 R 中进行多级分析

  • 我可以使用 Squid 升级客户端 TLS 连接吗?

    我正在尝试允许旧系统 CentOS 5 x 继续与服务建立连接 这些服务很快将仅允许 TLS v1 1 或 TLS v1 2 连接 Salesforce 各种支付网关等 我已经在 Centos 7 服务器上的 docker 容器中安装了 S

热门标签