
<div dir="ltr"><div>Amos Wrote:<br>The major well-known security flaw in the whole TLS/SSL system<br>

is that any one of the Trusted CAs is capable of forging signatures on<br>

other CAs clients.<br><br></div>And happens to be one that squid desperately needs to remain in order to continue ssl bumping..<br><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">-----------<br>Daniel I Greenwald<br><br><br></div></div>

<br><div class="gmail_quote">On Tue, Feb 3, 2015 at 7:16 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA1<br>

<br>

</span><span class="">On 4/02/2015 7:50 a.m., Yuri Voinov wrote:<br>

><br>

> Now I have:<br>

><br>

> root @ cthulhu /etc/opt/csw/ssl/certs # ls -al *.pem|wc -l 210<br>

><br>

> root and intermediate CA's. Most known I can found.<br>

><br>

> Note: all of them was wound in different places - in addition with<br>

> Mozilla's bundle, shipped with OpenSSL.<br>

><br>

> How I can found, which is absent?<br>

<br>

</span>Depends on your definition of "absent". If one was being really<br>

serious about the security the Trusted CA list would be empty.**<br>

<br>

All the domains using DANE and TLSA DNS records? I am hoping someday<br>

to have Squid fetch and use those instead of the Trusted CA, but that<br>

is a while off. (hint, hint sponsorship welcome etc. and so on).<br>

<span class=""><br>

><br>

> And how to support this heap? In practice? Manually with CLI<br>

> openssl? Ok, but how to identify problem URL, when Squid's load<br>

> over 100 requests per second?<br>

<br>

</span>With the cert validator helper I think. Probably something custom.<br>

<br>

<br>

** The point of the word "Trusted" in Trusted CA is that they have<br>

passed through some difficult criteria to get listed and installed.<br>

Just grabbing CA certs from all over the place is risking a huge<br>

amount. The major well-known security flaw in the whole TLS/SSL system<br>

is that any one of the Trusted CAs is capable of forging signatures on<br>

other CAs clients. So dodgy list entries is a VERY big deal.<br>

<br>

Amos<br>

-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG v2.0.22 (MingW32)<br>

<br>

iQEcBAEBAgAGBQJU0Y8YAAoJELJo5wb/XPRjYzkH/0n9xKM6oi8Uk3h4PkJVHYg6<br>

2fqVwPkXiSiqtxuD/DQ/IYJ04UQ0gxKz7KCWt4LaWoTBoAh8GdGnWciGCIcx1eYC<br>

GUhxOWP04ak1CSTaOOsUzAnXofp5Vc3pqaYHZVVohzE4KNvHzSEoOTGEwZpF2gtP<br>

yK559mi1g0wH8NVjzYaO/0oMEhIPuxjr2HyLBb3ZUWMG63JtlpQX35KGGm93A5Ws<br>

/03NhWs/iZDLpPvFivm3WxZme85Hl4XIbsWXp/AJWgK/jqr/SpFjUBs11CclTd9n<br>

zsTGiMMC+3RX/x1V/wzSrZ2wIdyAcfId2GRLKM4JaK7ABb0g3AMhQMesRv5JkDk=<br>

=Sgg5<br>

<div class="HOEnZb"><div class="h5">-----END PGP SIGNATURE-----<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</div></div></blockquote></div><br></div>