<div dir="ltr"><div>Amos Wrote:<br>The major well-known security flaw in the whole TLS/SSL system<br>
is that any one of the Trusted CAs is capable of forging signatures on<br>
other CAs clients.<br><br></div>And happens to be one that squid desperately needs to remain in order to continue ssl bumping..<br><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">-----------<br>Daniel I Greenwald<br><br><br></div></div>
<br><div class="gmail_quote">On Tue, Feb 3, 2015 at 7:16 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</span><span class="">On 4/02/2015 7:50 a.m., Yuri Voinov wrote:<br>
><br>
> Now I have:<br>
><br>
> root @ cthulhu /etc/opt/csw/ssl/certs # ls -al *.pem|wc -l 210<br>
><br>
> root and intermediate CA's. Most known I can found.<br>
><br>
> Note: all of them was wound in different places - in addition with<br>
> Mozilla's bundle, shipped with OpenSSL.<br>
><br>
> How I can found, which is absent?<br>
<br>
</span>Depends on your definition of "absent". If one was being really<br>
serious about the security the Trusted CA list would be empty.**<br>
<br>
All the domains using DANE and TLSA DNS records? I am hoping someday<br>
to have Squid fetch and use those instead of the Trusted CA, but that<br>
is a while off. (hint, hint sponsorship welcome etc. and so on).<br>
<span class=""><br>
><br>
> And how to support this heap? In practice? Manually with CLI<br>
> openssl? Ok, but how to identify problem URL, when Squid's load<br>
> over 100 requests per second?<br>
<br>
</span>With the cert validator helper I think. Probably something custom.<br>
<br>
<br>
** The point of the word "Trusted" in Trusted CA is that they have<br>
passed through some difficult criteria to get listed and installed.<br>
Just grabbing CA certs from all over the place is risking a huge<br>
amount. The major well-known security flaw in the whole TLS/SSL system<br>
is that any one of the Trusted CAs is capable of forging signatures on<br>
other CAs clients. So dodgy list entries is a VERY big deal.<br>
<br>
Amos<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.22 (MingW32)<br>
<br>
iQEcBAEBAgAGBQJU0Y8YAAoJELJo5wb/XPRjYzkH/0n9xKM6oi8Uk3h4PkJVHYg6<br>
2fqVwPkXiSiqtxuD/DQ/IYJ04UQ0gxKz7KCWt4LaWoTBoAh8GdGnWciGCIcx1eYC<br>
GUhxOWP04ak1CSTaOOsUzAnXofp5Vc3pqaYHZVVohzE4KNvHzSEoOTGEwZpF2gtP<br>
yK559mi1g0wH8NVjzYaO/0oMEhIPuxjr2HyLBb3ZUWMG63JtlpQX35KGGm93A5Ws<br>
/03NhWs/iZDLpPvFivm3WxZme85Hl4XIbsWXp/AJWgK/jqr/SpFjUBs11CclTd9n<br>
zsTGiMMC+3RX/x1V/wzSrZ2wIdyAcfId2GRLKM4JaK7ABb0g3AMhQMesRv5JkDk=<br>
=Sgg5<br>
<div class="HOEnZb"><div class="h5">-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</div></div></blockquote></div><br></div>