<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 12, 2015 at 11:04 AM, Yuri Voinov <span dir="ltr"><<a href="mailto:yvoinov@gmail.com" target="_blank">yvoinov@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
You only have external helper (which is must wrote yourself) in 3.4.x.<br>
<br></blockquote><div><br></div><div>Are there any examples that I can look at to implemented this external helper for doing selective ssl_bumps. And what would this helper script do anyways? All we have is the destination IP address which is not really going to give us the actual HTTP hostname. </div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Works with domains in ssl bump fully available at least 3.5.x<br></blockquote><div><br></div><div>Does the 3.5.x implementation decrypt the whole payload and then do the ssl_bump? The "peek" option seems to imply that only the HTTP headers are peeked at. </div><div><br></div><div>I guess what I am asking is, is there any way we can do this without actually decrypting the payload? </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
12.03.15 21:01, Mukul Gandhi пишет:<br>
<div><div class="h5">> I am running squid 3.4.8 and am looking for solutions to ssl_bump<br>
> for specific domains only. Going through the archives it is clear<br>
> that it is not possible unless the reverse DNS points back to the<br>
> domain that is to be ssl bumped.<br>
><br>
> So then what is the solution to this problem. I just want to create<br>
> a SSL whitelist of domains that are to be bumped and the rest<br>
> should be tunneled through. What I have is -<br>
><br>
> ssl_bump none localhost acl ssl_whitelist dstdomain<br>
> "/tmp/ssl_whitelist.txt" ssl_bump server-first ssl_whitelist<br>
><br>
> The file /tmp/ssl_whitelist.txt contains -<br>
><br>
> .<a href="http://facebook.com" target="_blank">facebook.com</a> .<a href="http://twitter.com" target="_blank">twitter.com</a> .<a href="http://pintrest.com" target="_blank">pintrest.com</a><br>
><br>
> Of course, this doesn't work because the ip address for these<br>
> websites points back to <something>.<a href="http://akamaitechnologies.com" target="_blank">akamaitechnologies.com</a>.<br>
><br>
> All I want is to be able to decrypt just the traffic to these<br>
> three web-sites, the rest should go through encrypted. But I<br>
> couldn't find a solution for this anywhere in the archives. I did<br>
> see some mention of using SslBump1/2/3 but it wasn't clear if this<br>
> was the silver bullet. Also I would have to upgrade to 3.5 to use<br>
> these new directives.<br>
><br>
> Any idea how I can achieve this in 3.4.8 (if possible)? Or if I a<br>
> solution exists for this in 3.5?<br>
><br>
> Thanks, -Mukul<br>
><br>
><br>
><br>
</div></div>> _______________________________________________ squid-users mailing<br>
> list <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
> <a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
><br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2<br>
<br>
iQEcBAEBAgAGBQJVAar2AAoJENNXIZxhPexGm5MH/0JUWgIjDrNb8+a0b66iyY+x<br>
uWgoNnGqBKL/gzQt3AmKv3P31/3Vc8wCpMlSd3HpOSeyOtJ4pYAqI3kw1o91kkEK<br>
YJ1wGc4FN+8sxUplA9+Kz/XDxpxTFAvS4/9d5AUOmxCoi2PmIhThozl8X8fIMdv/<br>
7shy+Ce9kKj/ozSievVaePxdH+OUd0fmdKtDrv1aenxQpclaZSkuwEflQ3idTYBu<br>
zTpNP3AvEP4+32yb2W+mP4p1JgHwUAi60hEz3kP9pxd+Ym2kuZeFDF5ZV2x2/cKQ<br>
iRpmS++2kOt0nIT074PhV8dzPfD1lZt7atQT+mBJhLvzlD5Sxvxqll7Z/dpQSSI=<br>
=P+8j<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br></div></div>