Squid, HTTPS-страницы intermitant и Windows 8/IE11

У меня есть странная проблема, и мне удалось реплицировать эту проблему в разных местах с различными установками Squid.Squid, HTTPS-страницы intermitant и Windows 8/IE11

Я буду основывать свою «проблему» на моем кальмарном сервере дома.

Запуск Fedora 20 (32 бит), с Squid 3.3.11, брандмауэром и iptables удалены/отключены. Сеть - IPv4. У меня есть пара машин с Windows 7 с IE11 и 1x Windows 8.1 с IE11.

Проблема с моей машиной Windows 8.1 с отключенными протоколами IPv6, пытаясь загрузить веб-страницы на основе SSL (например, https://www.google.co.uk или https://www.facebook.com), при начальной загрузке страницы возникает ошибка. Подвижные нагрузки либо терпят неудачу, либо частично терпят неудачу (основной корпус IE загружается, но еще больше отключается SSL-соединение, например загрузка изображений) или разрешает загрузку страницы.). Как ни странно, но я не перезвоню, имея проблемы с сайтом своих банков! Я бы предположил, что некоторые веб-сайты, похоже, больше чем другие.

Мой друг также смог повторить ошибку на сервере squid, который он установил с Windows 8.1. Он прокомментировал, что с использованием другого браузера, такого как Firefox, проблема решена, поэтому кажется, что она ограничена Windows 8.1, и IE11

Использование Wireshark во время неудачных попыток в конце мой компьютер отправляет обратно нагрузку команд TCP RST.

Однако при загрузке тех же сайтов на моем Windows 7 с использованием IE11 или Windows XP с IE8 проблема не появляется, и пока я не перешел на Windows 8.1, у меня было 0 проблем с моим Squid-сервером.

My Squid Config довольно простой, поскольку я просто использую его для фильтрации рекламы, используя список блоков, используя SquidGuard, хотя эксперимент исключил SquidGuard как проблему, когда я удалил соответствующую строку из squid.conf.

Спасибо за чтение и надежду, что мы сможем разобраться в этом!

Копилка конфигурации моего кальмара.

#squid normally listens to port 3128 
http_port 3128 

#Allow local machine 
#acl manager proto cache_object 
acl localhost src 192.168.20.6 

# Only allow cachemgr access from localhost 
http_access allow manager localhost 
http_access deny manager 

http_access allow localhost 

# Define Local network 
acl localnet src 192.168.20.0/24 
http_access allow localnet 

#Redirect for SquidGuard 
redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf 

# And finally deny all other access to this proxy 
http_access deny all

источник

2014-01-26 SteveH

Я нашел это: Отключить SPDY/3 Protokol в IE11 (Дополнительно ...)

источник

2014-01-30 15:14:14 Sergej

http://windowsexplored.com/2013/10/28/ie-11-page-cant-be-display-google-com-spdy3-protocol/ – Sergej

Первоначальные быстрые проверки оказались многообещающими после отключения этой опции. Будете следить за вещами и отправлять их обратно в течение нескольких дней. – SteveH

Использование его в течение нескольких часов и его место на. Проведение дополнительных исследований показывает, что у других проблемы есть. http://angrytechnician.wordpress.com/2014/01/16/google-not-loading-first-time-in-ie11-via-a-web-proxy-on-windows-8-1-turn-off -spdy-support/ Большое спасибо – SteveH

Это может быть связано с IE11 отключение RC4 и использование TLS1.2 в исходном рукопожатия, см http://blogs.msdn.com/b/ie/archive/2013/11/12/ie11-automatically-makes-over-40-of-the-web-more-secure-while-making-sure-sites-continue-to-work.aspx. К сожалению, многие хосты по-прежнему требуют RC4 и могут выйти из строя, если клиент не предлагает этот шифр. Другие хосты также будут скручиваться при использовании TLS1.2, например, они просто закрывают соединение (например, в настоящее время bmwi.de) или просто отбрасывают запрос (обычно это старшая балансировка нагрузки F6 BIG-IP спереди).

Я знаю из Chrome, что он просто повторяет неудачный запрос TLS 1.2 немедленно с TLS 1.1. Возможно, IE11 делает это другим, например. не повторяет попытку немедленно, но только помнит об ошибке и работает вокруг него, если пользователь повторяет попытку. Или он ведет себя таким образом только при использовании с прокси-сервером.

Что вы иногда получаете полную страницу, и иногда только один HTML-код для второго запроса может иметь место, если изображения загружаются из другого имени хоста, например. images.whatever вместо www.whatever. В этом случае сначала возникает несогласованное рукопожатие с www.whatever, и после успешного повторного запуска с пониженным SSL он получает HTML-код с включенными изображениями. Затем он будет обращаться к изображениям. Независимо от того, что будет и будет работать в тех же проблемах с SSL, чтобы страница оставалась без изображений до повторной попытки.

Если моя теория верна, вы должны увидеть, что в wirehark в исходном состоянии не удалось подключить сообщение SSL Client Hello с версией TLS 1.2 и не должно содержать RC4 в списке предлагаемых шифров.На втором (успешном) подключении вы должны увидеть RC4 в списке шифрования клиента Hello и, возможно, он также будет использовать TLS 1.1 или печь TLS 1.0 вместо TLS 1.2.

источник

2014-01-26 16:43:26

Спасибо за ваш ответ и объяснение. Я только что повторил прокрутку проводов, и во всех случаях TLS1.2 используется во время сбоя, но затем также при нормальном использовании. Я не видел, чтобы какая-либо другая версия TLS использовалась. Не уверен, что это помогает, но в дополнение к вышесказанному, если я удаляю настройки прокси-сервера, соединение ведет себя и работает идеально, поэтому он, по-видимому, ограничен трафиком, проходящим через Squid в IE11, запущенным в Windows 8.1. – SteveH

. По другой мысли, IE11 on Windows 7 имеет ту же настройку (RC4 отключен), но отлично работает без сбоев. Однако в Windows 8.1 это совсем другая история. – SteveH

Вы уверены, что RC4 отключен на IE11 в Win7? Согласно тесту SSLabs, IE11 в Win7 по-прежнему поддерживает RC4: https://www.ssllabs.com/ssltest/viewClient.html?name=IE&version=11&platform=Win%207 –

ответ

Смежные вопросы