
<div dir="ltr">Wasn't somebody saying that you'd need write an External ACL to evaluate the SNI host because dstdomain isn't hooked into that code (yet? ever?)?</div><div class="gmail_extra"><br><div class="gmail_quote">On 27 January 2015 at 08:33, Jason Haar <span dir="ltr"><<a href="mailto:Jason_Haar@trimble.com" target="_blank">Jason_Haar@trimble.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
  <div text="#000000" bgcolor="#FFFFFF">

    <span style="white-space:pre-wrap"> </span><br>

    Well the documentation says<br>

    <br>

    #   SslBump1: After getting TCP-level and HTTP CONNECT info.<br>

    #   SslBump2: After getting SSL Client Hello info.<br>

    #   SslBump3: After getting SSL Server Hello info.<br>

    <br>

    <br>

    So that means SslBump1 only works for direct proxy (ie CONNECT)

    sessions, it's SslBump2 that peeks into the traffic to discover the

    client SNI hostname. So I think you actually need (I'll use more

    descriptive acl names and comment out those that I think don't add

    any value)<br>

    <br>

    acl domains_nobump dstdomain "/etc/squid/domains_nobump.acl"<br>

    #no added value: acl DiscoverCONNECTHost at_step SslBump1<br>

    acl DiscoverSNIHost at_step SslBump2<br>

    #don't use - breaks bump: acl DiscoverServerHost at_step SslBump3<br>

    #no added value - in fact forces peek for some reason: ssl_bump peek

    DiscoverCONNECTHost all<br>

    ssl_bump peek DiscoverSNIHost all<br>

    <br>

    ssl_bump splice domains_nobump<br>

    #DiscoverSNIHost should now mean Squid knows about all the SNI

    details<br>

    ssl_bump bump all<br>

    <br>

    Sadly, this doesn't work for me *in transparent mode*. Works fine

    when using squid as a formal proxy, but when used via https_port

    intercept, we end up with IP address certs instead of SNI certs.<br>

    <br>

    We really need someone who knows more to tell us how to make this

    work :-(<span class="HOEnZb"><font color="#888888"><br>

    <br>

    <br>

    -- <br>

    Cheers<br>

    <br>

    Jason Haar<br>

    Corporate Information Security Manager, Trimble Navigation Ltd.<br>

    Phone: <a href="tel:%2B1%20408%20481%208171" value="+14084818171" target="_blank">+1 408 481 8171</a><br>

    PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1<br>

    <br>

  </font></span></div>


<br>_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

<br></blockquote></div><br></div>