
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>Hello Robert,</div>

<div><br>

</div>

<div>Just my two cents – if you remove or comment out the</div>

<div>  sslproxy_cert_error allow all</div>

<div>  sslproxy_flags DONT_VERIFY_PEER</div>

<div><br>

</div>

<div>from squid config – may it be that squid starts complaining – "cannot get cert issues locally” on the google sites?</div>

<div><br>

</div>

<div>Rafael.</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">From: </span>Robert Watson <<a href="mailto:robert@gillecaluim.com">robert@gillecaluim.com</a>><br>

<span style="font-weight:bold">Date: </span>Sunday 5 October 2014 02:29<br>

<span style="font-weight:bold">To: </span>"<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a>" <<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a>><br>

<span style="font-weight:bold">Subject: </span>[squid-users] transparent proxy https and self signed certificate error<br>

</div>

<div><br>

</div>

<div>

<div>

<div dir="ltr">using squid 3.4.8, compiled from source with ./configure flags --enable-icap-client --enable-ssl --enable-ssl-crtd

<div>configured iptables for transparent proxy (redirect 80 to 3128) and everything works fine</div>

<div><br>

</div>

<div>configured iptables for transparent proxy (redirect 443 to 3127) but can't get transparent proxy for https to work</div>

<div>my squid.conf</div>

<div>...</div>

<div>

<div># Squid https port</div>

<div>https_port 3127 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl_cert/XXX.pem</div>

<div>acl broken_sites dstdomain .<a href="http://example.com">example.com</a></div>

<div>ssl_bump none localhost</div>

<div>ssl_bump none broken_sites</div>

<div>ssl_bump server-first all</div>

<div>sslproxy_cert_error allow all</div>

<div>sslproxy_flags DONT_VERIFY_PEER</div>

<div>sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 4MB</div>

<div>sslcrtd_children 32 startup=5 idle=1</div>

</div>

<div><br>

</div>

<div>when visiting google (or any other https site) chrome complains</div>

NET::ERR_CERT_AUTHORITY_INVALID

<div>I tried using internet explorer as admin and imported the self signed certificate but that hasn't helped</div>

<div><br>

</div>

<div>can anyone please with how to debug this</div>

<div>thanks, Robert<br>

<div><span style="color: rgb(0, 0, 0); font-family: 'Segoe UI', Tahoma, sans-serif; font-size: 15px; line-height: 24px; text-transform: uppercase; background-color: rgb(247, 247, 247);"><br>

</span></div>

</div>

</div>

</div>

</div>

</span>

</body>

</html>