<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">

<HTML>

<HEAD>

  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">

  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">

</HEAD>

<BODY>

On Tue, 2015-06-23 at 09:11 +0200, Klavs Klavsen wrote:

<BLOCKQUOTE TYPE=CITE>

<PRE>

Hi James,

Did you ever find an answer for this?

James Lay wrote on 06/11/2015 02:16 AM:

<FONT COLOR="#737373">> All,</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">>  From the docs at:</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> <A HREF="http://wiki.squid-cache.org/Features/SslPeekAndSplice">http://wiki.squid-cache.org/Features/SslPeekAndSplice</A></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> *peek*</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">>      step1, step2</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">>      Receive SNI and client certificate (step1), or server certificate</FONT>

<FONT COLOR="#737373">> (step2) while preserving the possibility of splicing the connection.</FONT>

<FONT COLOR="#737373">> Peeking at the server certificate usually precludes future bumping of</FONT>

<FONT COLOR="#737373">> the connection (see Limitations). This action is the focus of this project.</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> *stare*</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">>      step1, step2</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">>      Receive SNI and client certificate (step1), or server certificate</FONT>

<FONT COLOR="#737373">> (step2) while preserving the possibility of bumping the connection.</FONT>

<FONT COLOR="#737373">> Staring at the server certificate usually precludes future splicing of</FONT>

<FONT COLOR="#737373">> the connection. Currently, we are not aware of any work being done to</FONT>

<FONT COLOR="#737373">> support this action.</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> I see a lot of:</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> ssl_bump peek all</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> Does this perform both step1 with SNI and client cert, AND server cert?</FONT>

<FONT COLOR="#737373">> Thank you.</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> James</FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">></FONT>

<FONT COLOR="#737373">> _______________________________________________</FONT>

<FONT COLOR="#737373">> squid-users mailing list</FONT>

<FONT COLOR="#737373">> <A HREF="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</A></FONT>

<FONT COLOR="#737373">> <A HREF="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</A></FONT>

<FONT COLOR="#737373">></FONT>

</PRE>

</BLOCKQUOTE>

<BR>

Hi Klavs,<BR>

<BR>

I did not.  I can tell you in my testing that:<BR>

<BR>

ssl_bump peek step1 all<BR>

ssl_bump peek step2 all<BR>

<BR>

versus<BR>

<BR>

ssl_bump peek all<BR>

<BR>

Did not give me the same results, so I'm going to assume a single statement only performs SNI lookup, but maybe someone else on the list has a better answer.<BR>

<BR>

James

</BODY>

</HTML>