[proxy https avec squid] Résolvez l'erreur qui s'est produite avec une clé dh trop petite

introduction

J'utilise un proxy https qui intercepte ssl, et j'ai résolu le problème, je vais donc l'enregistrer. L'environnement à utiliser est le suivant qui a été créé la dernière fois. ** Créez facilement un proxy avec liaison Active Directory et interception SSL avec squid avec docker **

Qu'est-il arrivé

Une erreur se produit lors de la tentative de connexion au site suivant. https://blog.goo.ne.jp/

Screenshot from Gyazo

Le contenu de l'erreur est (71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE) Handshake with SSL server failed: error:141A318A:SSL routines:tls_process_ske_dhe:dh key too small C'était ça.

Recherche de cause

L'erreur tls_process_ske_dhe: dh key too small. Il semble être repoussé car le certificat du serveur est plus court que la longueur de clé DH requise par squid.

CentOS8 dispose d'un mécanisme appelé «crypto-politiques», qui semble gérer de manière centralisée les politiques de chiffrement dans tout le système. La politique est gérée par des préréglages et devient plus stricte dans l'ordre LEGACY / DEFAULT / FIPS / FUTURE.

Vous pouvez vérifier les paramètres actuels avec la commande ʻupdate-crypto-policies --show`.

# update-crypto-policies --show
DEFAULT

Référencé ** site RHEL8 * Dans *, la longueur de la clé DH de DEFAULT est d'au moins 2048 bits. S'il est réglé sur LEGACY, une courte longueur de clé DH sera acceptable.

Cependant, abaisser le niveau de l'ensemble du système est un peu délicat.

Solution

La directive tls_outgoing_options dans squid.conf spécifiait le jeu de chiffrement, alors essayons-le.

squid.conf


tls_outgoing_options cipher=DEFAULT:@SECLEVEL=1

Screenshot from Gyazo

C'est acceptable

La source

J'ai été autorisé à faire référence. http://www.squid-cache.org/Doc/config/tls_outgoing_options/ https://yoku0825.blogspot.com/2019/12/centos-80url-error141a318assl.html https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/8/html/security_hardening/using-the-system-wide-cryptographic-policies_security-hardening https://stackoverflow.com/questions/53058362/openssl-v1-1-1-ssl-choose-client-version-unsupported-protocol

Recommended Posts

[proxy https avec squid] Résolvez l'erreur qui s'est produite avec une clé dh trop petite
[proxy https avec squid] Comment représenter une liste blanche de https avec url_regex
Type de valeur d'un dictionnaire avec une structure compliquée (tri par structure de clé par valeur profonde)