<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY>
On Tue, 2015-06-09 at 21:39 +0200, Klavs Klavsen wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
Amos Jeffries wrote on 2015-06-09 17:10:
[CUT]
<FONT COLOR="#737373">> You have to first configure ssl_bump in a way that lets Squid receive</FONT>
<FONT COLOR="#737373">> the clientHello message (step1 -> peek) AND the serverHello message</FONT>
<FONT COLOR="#737373">> (step2 -> peek). Then you can use those cert details to bump (step3 -></FONT>
<FONT COLOR="#737373">> bump).</FONT>
<FONT COLOR="#737373">> The config is quite simple:</FONT>
<FONT COLOR="#737373">>   ssl_bump peek all</FONT>
<FONT COLOR="#737373">>   ssl_bump bump all</FONT>
<FONT COLOR="#737373">> </FONT>
I have this:
ssl_bump peek step1 broken
ssl_bump peek step2 broken
ssl_bump splice broken
ssl_bump peek step1 all
ssl_bump peek step2 all
ssl_bump bump all

<FONT COLOR="#737373">> </FONT>
<FONT COLOR="#737373">> But there are cases like the client is resuming a previous TLS session</FONT>
<FONT COLOR="#737373">> where there is no certificates involved. Squid cannot do anything, so it</FONT>
<FONT COLOR="#737373">> automatically splices (3.5.4+ at least do). Or if you have configured</FONT>
<FONT COLOR="#737373">> your Squid in a way that there are no mutually supported ciphers.</FONT>
<FONT COLOR="#737373">> </FONT>

My client is curl.. I don't think that its caching any TLS sessions.

<FONT COLOR="#737373">> </FONT>
<FONT COLOR="#737373">> It may just be your ssl_bump rules. But given that this is a google</FONT>
<FONT COLOR="#737373">> domain there is a strong chance that you are encountering one of those</FONT>
<FONT COLOR="#737373">> special case.</FONT>
<FONT COLOR="#737373">></FONT>
I'd like squid to disallow queries where it cannot see what domain name
/ url is going to be accessed.

I'd like all GET/POST etc. requests to go through squid - so they are
controlled by the normal http_access rules as http (intercepted) is
currently.

This worked with 3.4.12 :( (but only for 30 minutes or less)

You saw my full config.. how is it supposed to look with 3.5.5, for this
to work as it did with 3.4.12 ?

sorry I'm a bit frustrated.. I can't seem to grasp what changed from
3.4.12 to 3.5.5, which means I suddenly can't filter https traffic
anymore :(

</PRE>
</BLOCKQUOTE>
<BR>
Gents,<BR>
<BR>
I'm going to spin this off into a new thread..."Filtering http and https traffic" sometime later today.  I have some questions, and maybe solutions.<BR>
<BR>
James
</BODY>
</HTML>