<div dir="ltr">I set up an ssl-bump squid recently and noticed some bump issues too. <div><br></div><div>Most sites work fine (e.g. google and twitter using https).  But, I get errors with Facebook.com.  But, it only happens in Mac OS X Chrome, Windows Chrome works fine.</div><div><br></div><div>Chrome refuses to load the site, and in certificate details it says "This certificate cannot be used (unrecognized critical extension)"</div><div><br></div><div>In the detail view, the critical extensions are:</div><div><br></div><div>Key Usage.   Data = A8</div><div>Basic Constraints.  Certificate Authority = No</div><div><br></div><div>In the Windows certificate details, the same extensions are present, but don't cause any issue.</div><div>Has anyone else seen this?</div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 2, 2014 at 4:09 PM, Jason Haar <span dir="ltr"><<a href="mailto:Jason_Haar@trimble.com" target="_blank">Jason_Haar@trimble.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi there<br>
<br>
I'm using sslbump and I just got blocked logging into hotmail for the<br>
first time (yeah, slumming it ;-)<br>
<br>
The cert is for <a href="http://bay181.mail.live.com" target="_blank">bay181.mail.live.com</a>, and squid is generating a "CN=Not<br>
trusted by xxxxx" type cert, as I assume it wasn't signed by a CA that<br>
squid knew about?<br>
<br>
I whitelisted <a href="http://live.com" target="_blank">live.com</a> (ie don't bump it any more) and the problem goes<br>
away for Firefox<br>
<br>
I'm running Ubuntu 14.04, so does this mean that the db of CA's Ubuntu<br>
trusts does not include the same CA-chain that browsers do?<br>
<br>
ie, I have<br>
<br>
http_port 3128 ssl-bump cert=/usr/local/squid/etc/squidCA.cert<br>
capath=/etc/ssl/certs/<br>
<br>
so this means the CA's Ubuntu lists in /etc/ssl/certs/  is "out of date"<br>
compared with Firefox?<br>
<br>
Really a rhetorical question, just kinda wanting to know about where<br>
sslbump will run into trouble, etc :-)<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Cheers<br>
<br>
Jason Haar<br>
Corporate Information Security Manager, Trimble Navigation Ltd.<br>
Phone: <a href="tel:%2B1%20408%20481%208171" value="+14084818171">+1 408 481 8171</a><br>
PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</font></span></blockquote></div><br></div></div>