В сквиде 3.3 перестала срабатывать блокировка по HTTPS (и при прозрачном проксировании и при обычном). Сначала грешил на сквид. После изучения логов, я увидел, что по https-запросам в строке CONNECT, вместо домена всегда висит IP, при этом, от пользователей, сидящих на Win XP и IE 8 - я продолжаю видеть запросы по домену
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Примерный перевод:
Новые браузеры отправляют IP-адреса в запросы на подключение, даже если пользователь ввел имя сервера (url - не ip) в адресной строке. Ничего не можем с этим поделать, т.к мы не отвечаем за исходный код браузеров.
Оригинал:
Some browsers (e.g., Rekonq browser v0.7.x) send IP addresses in CONNECT requests even when the user typed a host name in the address bar. Squid cannot handle both such browsers and URLs with IP addresses instead of host names because Squid cannot distinguish one case from another. There is nothing we can do about it until somebody contributes code to reliably detect CONNECT requests from those "unusual" browsers.
=== выдержка из http://wiki.squid-cache.org/Features/MimicSslServerCert ===
Суть в том, что теперь, вместо URL'ов браузеры (проверено хром 36.0.1985.143, IE 11) теперь отправляют в команде соединения вместо домена - IP'шник HTTPS'ного сайта, а в блоклистах реджика прописаны домены. Соответственно блокировки не происходит
Пример из лога сквида (вырезка 1 строчки из входа на mail.ru):
=== https-запрос от пользователя на XP с IE8 ===
1409725807.296 317 192.168.21.6 TCP_MISS/200 341 CONNECT rs.mail.ru:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на XP с IE8 ===
=== https-запрос от пользователя на Win7 с IE11 ===
1409733165.939 2034 192.168.21.77 TCP_MISS/200 1392 CONNECT 94.100.181.196:443 - HIER_DIRECT/94.100.181.196 -
=== https-запрос от пользователя на Win7 с IE11 ===
Как дальше жить? Что делать?
Я для себя начал через RIPE.NET выискивать автономные системы известных почтовых сетей (а-ля мейл.ру, гугл), и сносить вручную сети им принадлежащие.
Но т.к, в отличие от доменов IP постоянно отзывают, меняют, IP'ы, принадлежащие почтовым серверам переезжают на вэб-сервисы - отслеживать тяжело.
Вообщем - я в тупике. У кого есть идеи - поделитесь?
Squid 3.3 и HTTPS и современные браузеры
Re: Squid 3.3 и HTTPS и современные браузеры
Решение в лоб: регулярно резолвим банлисты, преобразуем их в список ip.
Блокируем эти ip по https, в отдельной(ных) секции.
Если нужно, могу набросать скрипт ресолва.
Блокируем эти ip по https, в отдельной(ных) секции.
Если нужно, могу набросать скрипт ресолва.
Re: Squid 3.3 и HTTPS и современные браузеры
Костыль, конечно, ещё тот получается, но может помочь. Спасибо за идею
upd: вообщем я погорячился, подобное наблюдается только при прозрачном проксировании https, с использованием ssl_bump.
Похоже всё-таки в сквиде дело?
upd: вообщем я погорячился, подобное наблюдается только при прозрачном проксировании https, с использованием ssl_bump.
Похоже всё-таки в сквиде дело?
Re: Squid 3.3 и HTTPS и современные браузеры
"Похоже всё-таки в сквиде дело?"
дело действительно в сквиде а точнее, в технике ssl bump. При прозрачном проксировании сквид перехватывает https запрос, который направлен на ip-адрес,урл он не видит, при обычном проксировании сквид видит урл, соответственно это и отображается в логах.
дело действительно в сквиде а точнее, в технике ssl bump. При прозрачном проксировании сквид перехватывает https запрос, который направлен на ip-адрес,урл он не видит, при обычном проксировании сквид видит урл, соответственно это и отображается в логах.