Hallo Forum,
auf unserer v12.x-UTM habe ich im aktuellen Reverse-Proxy vom squid das Problem,
dass ein Client eines IIS wohl ältere, kompatiblere SSL/TLS-cipher-suites benötigt.
Ein (alter) und schlecht programmierter Windows-Client möchte sich auf den IIS verbinden via Reverse Proxy der UTM (da dieser ein beglaubites LE mSAN-Zert hat),
doch dies scheitert, da der Client meldet "SSL Error" - andere Webapplikationen wie zB. ein moderner Webbrowser meckern nicht.
1.Nun die Frage, wie man und ob man in der squid_reverse.conf rumspielen kann bzw. darf?
Ich sehe hier ua folgende Parameter, an denen man basteln könnte
$override = application_get_variable("securepoint_firewall", "CRYPTO_OVERRIDE")
$tls_port = 443
$std_port = 80
$sslcipher = "ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS"
$sslproto = "!ALL,"
Welchem Standard entsprechen denn die Suites momentan? TLS 1.3, nehme ich an?
Gibt's hier Möglichkeiten, noch ein wenig "kompatibler" zu sein zwecks Client ?
Wenn ja, wo muss ich Hand anlegen und welche Cipher-Suite-Strings könnte ich verwenden?
2. Hilft es, wenn ich im squid-access und im squid-cache-log reinschaue auf der SSH-ebene?
Vielen Dank
Reverse Proxy; SSL TLS cipher-suites editieren / downgrade
Moderator: Securepoint
Hallo,
in der UTM unter Authentifizierung => Verschlüsselung => REVERSE-PROXY kann man die TLS Versionen und Cipher anpassen.
Die alte Cipher-Suite war:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES128-SHA256:AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
Gruß Björn
in der UTM unter Authentifizierung => Verschlüsselung => REVERSE-PROXY kann man die TLS Versionen und Cipher anpassen.
Die alte Cipher-Suite war:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES128-SHA256:AES128-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK
Gruß Björn