<div dir="ltr">Hello, <div><br></div><div>I am having problems with squid & SSL. I have setup squid in reverse-proxy configuration and overall it works fine, however for security reasons I had to disable some of the ciphers. I have taken an example configuration from <a href="http://www.rawiriblundell.com/?p=1442">http://www.rawiriblundell.com/?p=1442</a> and my https_port line looks pretty much like this (this is the example from the website but the disabled ciphers are the same for me as well):</div><div><br></div><div><span style="color:rgb(102,102,102);font-family:monospace;font-size:17px">https_port  443 accel defaultsite=someinternalhost vhost cert=/etc/squid/CertAuth/supersecret.crt key=/etc/squid/CertAuth/supersecret.key options=NO_SSLv2,NO_SSLv3,CIPHER_SERVER_PREFERENCE cipher=ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4 dhparams=/etc/squid/CertAuth/dhparams.pem</span><br></div><div><br></div><div>During my build I have included the config options --enable-ssl and --with-openssl=/usr</div><div><br></div><div>Using the proxy through a browser works fine, but if I try <span style="color:rgb(0,0,0);font-family:"andale mono",monospace;font-size:smaller">nmap --script ssl-enum-ciphers -p 443 <host> or openssl s_client -cipher 'RC4-SHA' -connect <host> </span>these commands result in complete DoS for a few minutes. I figured out that only the unsupported or disabled ciphers cause this problem. Also when I do the openssl connection as shown above the proxy will be unresponsive as long as openssl is trying to connect using the disabled cipher. As soon as it finishes (eg times out unable to connect using RC4) the proxy starts serving requests again. I should mention that I am running squid inside a docker container if this matters at all. </div><div><br></div><div>The errors in my logs are : </div><div>"Error negotiating SSL connection on FD 22: error 1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO: no shared cipher (1/-1)</div><div><br></div><div>"Error negotiating SSL connection on FD 25: error 1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO: wrong version number (1/-1)<br></div><div><br></div><div>P.S I also tried squid 4, and got exactly the same problem.</div><div><br></div><div>Any help will be much appreciated </div><div><br></div><div>Thanks!</div></div>