<div dir="ltr"><div><div>Thanks for your response.  I don't see anything strange in the access log, just the initial CONNECT request, but nothing follows because of the error at the client.  We have squid set to "deny all" on certificate error.<br><br></div>While your suggestions would surely solve the problem, they don't work for our deployment, as we only want to allow certain sites, so splicing all will not suffice.  What is strange is that there are no "stare" or "bump" rules present, yet that appears to be what is happening.<br><br></div><div>I'll continue to monitor logs and see if I can provide any additional info.<br></div><div><br></div>For what it's worth, this is Squid 3.5.11 running on Debian.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div><br></div><div>---------------------------------</div>Tom Mowbray<div><a href="mailto:tmowbray@dalabs.com" target="_blank"><i>tmowbray@dalabs.com</i></a></div><div><i>703-829-6694<br><br><a href="http://www.dalabs.com" target="_blank"><img alt="http://www.dalabs.com" src="https://docs.google.com/uc?export=download&id=0B5KuFY5S-iILOG9XQzUwTEtTV28&revid=0B5KuFY5S-iILS3N5Z1ZuK3NJbkZjWnBycHNnZ1hLK2ZpVVpFPQ"></a><br></i></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Thu, Nov 12, 2015 at 2:12 PM, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 11/12/2015 11:31 AM, Tom Mowbray wrote:<br>
> We're seeing some strange behavior where certain sites, especially those<br>
</span>> hosted by Google, including <a href="http://youtube.com" rel="noreferrer" target="_blank">youtube.com</a> <<a href="http://youtube.com" rel="noreferrer" target="_blank">http://youtube.com</a>>, where the<br>
<span class="">> HTTPS traffic is being "bumped" and users are getting certificate errors<br>
> with our self-signed certificate and CA appearing in the certificate<br>
> details.<br>
<br>
</span>Can you tell what Squid is sending on some of those bumped connections?<br>
Could it be an error message? What does access.log say?<br>
<span class=""><br>
<br>
> What is strange is that we have the squid.conf set to either "splice" or<br>
> "terminate" all HTTPS traffic.  There is NO traffic that is supposed to<br>
> be bumped at all (because we are not able to load our CA cert on all<br>
> client machines).<br>
><br>
> Here is the significant portion of our squid.conf:<br>
><br>
> acl sslallow ssl::server_name "/path/to/file"<br>
> ssl_bump peek all<br>
> ssl_bump splice sslallow<br>
> ssl_bump terminate all<br>
><br>
> Most of the sites in acl sslallow work as expected...but some sites come<br>
> back with a certificate error as described above, suggesting that they<br>
> were "bumped" using our mimicked certificate.  This behavior also isn't<br>
> 100% reproducible...sometimes it works as expected, though it usually<br>
> does not.<br>
<br>
<br>
</span>Do you tell Squid to splice on all SSL validation errors and when seeing<br>
non-SSL traffic on expecting-SSL connections? If yes, then this is most<br>
likely a Squid bug. Otherwise, perhaps Squid is trying to inform users<br>
of an error? Triage is needed to understand why Squid is bumping.<br>
<br>
There is also a possibly related bug 4321, but it should not affect<br>
steps 2 and 3 where you terminate connections:<br>
<a href="http://bugs.squid-cache.org/show_bug.cgi?id=4321" rel="noreferrer" target="_blank">http://bugs.squid-cache.org/show_bug.cgi?id=4321</a><br>
<span class=""><br>
<br>
> Another note:  Seems to happen mainly on mobile browsers and on Chrome<br>
> browser running on Google Chromebooks.<br>
><br>
> Is there something I'm missing?  Is there a way to ensure that NO sites<br>
> are being bumped at all?<br>
<br>
</span>Yes, there are (or should be) three ways:<br>
<br>
1. Do not use SslBump at all.<br>
<br>
2. Use "ssl_bump splice all" rule and no other ssl_bump rule.<br>
<br>
3. Do not use any "ssl_bump bump" and "ssl_bump stare" rules while<br>
allowing all SSL errors and non-SSL traffic.<br>
<br>
#1 is known to work. Others may or may not work, depending on your Squid<br>
version, yet-unknown Squid bugs, and other specifics.<br>
<span class=""><br>
<br>
>  (For our deployment, we'd rather terminate<br>
> than bump if splicing isn't possible).<br>
<br>
</span>Your ssl_bump rules reflect your intent. However, when you use "ssl_bump<br>
peek all", Squid has to validate SSL clients and servers (to various<br>
degrees). Other Squid directives tell Squid what to do when that<br>
validation fails. The ones I remember are on_unsupported_protocol and<br>
sslproxy_cert_error. Do you configure those directives to ignore all<br>
errors (and, hence, let users deal with them, including abusing them for<br>
tunnelling anything through your Squid)?<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<br>
</blockquote></div><br></div>