Squid 3.3 и HTTPS и современные браузеры
Добавлено: Ср сен 03, 2014 12:37
В сквиде 3.3 перестала срабатывать блокировка по HTTPS (и при прозрачном проксировании и при обычном). Сначала грешил на сквид. После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Примерный перевод:
Новые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.
Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those "unusual" browsers.
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Суть в том, что теперь, вместо URL'ов браузеры (проверено хром 36.0.1985.143, IE 11) теперь отправляют в команде соединения вместо домена - IP'шник HTTPS'ного сайта, а в блоклистах реджика прописаны домены. Соответственно блокировки не происходит
Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на XP с IE8 ===
=== https-запрос от пользователя на Win7 с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на Win7 с IE11 ===
Как дальше жить? Что делать?
Я для себя начал через RIPE.NET выискивать автономные системы известных почтовых сетей (а-ля мейл.ру, гугл), и сносить вручную сети им принадлежащие.
Но т.к, в отличие от доменов IP постоянно отзывают, меняют, IP'ы, принадлежащие почтовым серверам переезжают на вэб-сервисы - отслеживать тяжело.
Вообщем - я в тупике. У кого есть идеи - поделитесь?
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Примерный перевод:
Новые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.
Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those "unusual" browsers.
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Суть в том, что теперь, вместо URL'ов браузеры (проверено хром 36.0.1985.143, IE 11) теперь отправляют в команде соединения вместо домена - IP'шник HTTPS'ного сайта, а в блоклистах реджика прописаны домены. Соответственно блокировки не происходит
Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на XP с IE8 ===
=== https-запрос от пользователя на Win7 с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на Win7 с IE11 ===
Как дальше жить? Что делать?
Я для себя начал через RIPE.NET выискивать автономные системы известных почтовых сетей (а-ля мейл.ру, гугл), и сносить вручную сети им принадлежащие.
Но т.к, в отличие от доменов IP постоянно отзывают, меняют, IP'ы, принадлежащие почтовым серверам переезжают на вэб-сервисы - отслеживать тяжело.
Вообщем - я в тупике. У кого есть идеи - поделитесь?