Handshake with SSL server failed: error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 unrecognized name
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.
Your cache administrator is webmaster.
wir haben auch schon verschiedene einträge unter :
"Ausnahmen für Zertifikatsverifizierung" eingetragen wie bsp:
Leider unterstützt der Ziel-Server mit der IP 81.169.145.84:443 ausschließlich Verbindungen, die mit Hilfe von SNI (Google hilft) aufgebaut werden. Der Squid unterstützt aber noch kein SNI und deshalb macht es bumm. Testen lässt sich das so:
# openssl s_client -connect 81.169.145.84:443 -showcerts -servername www.impulse-schule.de
CONNECTED(00000003)
depth=1 /C=DE/O=STRATO AG/OU=Domain Validated SSL/CN=STRATO SSL - G2
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/OU=STRATO SSL/OU=Domain Control Validated/CN=www.impulse-schule.de
i:/C=DE/O=STRATO AG/OU=Domain Validated SSL/CN=STRATO SSL - G2
-----BEGIN CERTIFICATE-----
ze SSL connection continues...
Entweder Sie schalten die SSL Interception aus (super Lösung) oder Sie verwenden im Feld "Ausnahmen für SSL-Interception" einen Regex mit dem Wert "impulse-schule\.de" (nicht so super Lösung).
die SSL-Interception scheint doch (noch) nicht so gut einsetzbar zu sein wie ein einfacher http-Proxy.
Das Problem, wie oben genannt, ist nachvollziehbar.
Ähnlich sieht es beispielsweise auch bei linkedin.com aus:
Failed to establish a secure connection to 185.63.147.14
The system returned:
[No Error] (TLS code: SQUID_X509_V_ERR_DOMAIN_MISMATCH)
Certificate does not match domainname: /C=US/ST=California/L=Mountain View/O=LinkedIn Corporation/OU=Production Operations Group/CN=spdy.linkedin.com
This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.
Auf ein Update vom Squid warten, welches SNI unterstützt. Aber selbst das wird kein Garant für die ordnungsgemäße Funktion sein. Man wird die Hucke an Funktionen und Einschränkungen niemals so abgebildet bekommen, dass das bei allen Kunden mit jeder Kombination aus Client und Server funktioniert.
Mal davon ab ist meine persönliche Meinung zu SSL-Interception: sein lassen. Die Handvoll Vorteile, die man dadurch bekommt, wiegt IMO nicht die Nachteile/Probleme auf.
Aber wie schützen wir uns gegen den Download von Schadsoftware via https mit Port 443, was ja gern von Malware-Downloadern als Alternative zu http via Port 80 genutzt wird, um klassische transparente Proxies zu umgehen?
