Squid 3.3 и HTTPS и современные браузеры

Обсуждение программы редиректора
Ответить
VladAdmin
Сообщения: 2
Зарегистрирован: Ср сен 03, 2014 12:10

Squid 3.3 и HTTPS и современные браузеры

Сообщение VladAdmin »

В сквиде 3.3 перестала срабатывать блокировка по HTTPS (и при прозрачном проксировании и при обычном). Сначала грешил на сквид. После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Примерный перевод:
Новые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.

Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those "unusual" browsers.
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===

Суть в том, что теперь, вместо URL'ов браузеры (проверено хром 36.0.1985.143, IE 11) теперь отправляют в команде соединения вместо домена - IP'шник HTTPS'ного сайта, а в блоклистах реджика прописаны домены. Соответственно блокировки не происходит :(


Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на XP с IE8 ===

=== https-запрос от пользователя на Win7 с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на Win7 с IE11 ===

Как дальше жить? Что делать? :)

Я для себя начал через RIPE.NET выискивать автономные системы известных почтовых сетей (а-ля мейл.ру, гугл), и сносить вручную сети им принадлежащие.
Но т.к, в отличие от доменов IP постоянно отзывают, меняют, IP'ы, принадлежащие почтовым серверам переезжают на вэб-сервисы - отслеживать тяжело.
Вообщем - я в тупике. У кого есть идеи - поделитесь?

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: Squid 3.3 и HTTPS и современные браузеры

Сообщение Slava »

Решение в лоб: регулярно резолвим банлисты, преобразуем их в список ip.
Блокируем эти ip по https, в отдельной(ных) секции.
Если нужно, могу набросать скрипт ресолва.

VladAdmin
Сообщения: 2
Зарегистрирован: Ср сен 03, 2014 12:10

Re: Squid 3.3 и HTTPS и современные браузеры

Сообщение VladAdmin »

Костыль, конечно, ещё тот получается, но может помочь. Спасибо за идею :)

upd: вообщем я погорячился, подобное наблюдается только при прозрачном проксировании https, с использованием ssl_bump.
Похоже всё-таки в сквиде дело?

asket
Сообщения: 40
Зарегистрирован: Вт янв 24, 2006 19:32
Откуда: Москва

Re: Squid 3.3 и HTTPS и современные браузеры

Сообщение asket »

"Похоже всё-таки в сквиде дело?"

дело действительно в сквиде а точнее, в технике ssl bump. При прозрачном проксировании сквид перехватывает https запрос, который направлен на ip-адрес,урл он не видит, при обычном проксировании сквид видит урл, соответственно это и отображается в логах.

Ответить