TLS-нетерпимые сайты вдруг не работают

Около 2 недель назад пользователи начали сообщать, что им не удалось получить доступ к двум сайтам только с https. Когда я осмотрел эти сайты, я обнаружил, что они абсолютно нетерпимы к TLS. Для подключения требуется SSL3, а TLS (1.0-1.2) должен быть отключен в браузере. Теперь, с помощью этого обходного пути, пользователи могут подключаться, однако мы обнаружили, что некоторым пользователям вообще не нужно этого делать - что откат к SSL3 по-прежнему работает правильно (как и раньше). Сначала я подумал, что это было какое-то смягчение пуделя, но это не проблема. Все сайты доступны, когда нет в нашей внутренней сети (я могу получить к ним доступ в своем доме с настройками по умолчанию как в Chrome, так и в IE). Разница лишь в том, что эти сети проходят через прокси-сервер zScaler на работе. Однако время от времени мы можем подключаться без изменения каких-либо настроек в нашей внутренней сети, при этом прокси-сервер не поврежден, что наводит меня на мысль, что прокси-сервер не виноват (как я и думал сначала). Единственная другая идея, которую мы имеем, заключается в том, что это может иметь отношение к тому, как наши 2 маршрутизатора GRE маршрутизируют трафик. Есть ли что-то еще, что мы должны изучить?

1 ответ

В настоящее время ни в одном крупном браузере SSL 3.0 по умолчанию отключен (часто есть варианты отключить SSL 3.0 вручную), и все они по-прежнему имеют запасные варианты, реализованные на случай, если TLS не работает. Это означает, что прямые соединения должны работать в большинстве случаев.

Я не вижу официального заявления Zscaler о том, что они делают против POODLE внутри перехвата HTTPS, но, возможно, они просто отключают SSL 3.0. Это будет означать, что в некоторых случаях он все еще будет работать, когда ваше соединение через прокси Zscaler, а в других случаях SSL 3.0 уже заблокирован.

Другие вопросы по тегам