<div dir="ltr">Its called certificate pinning: <a href="https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning">https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning</a><div><br></div><div>Nir.<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Jan 2, 2016 at 9:11 PM, Alejandro Martinez <span dir="ltr"><<a href="mailto:ajm.martinez@gmail.com" target="_blank">ajm.martinez@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi all,<div><br></div><div>I'm using squid 3.5.12.</div><div><br></div><div>This is my relevant config:</div><div><br></div><div><div><i>http_port 881</i></div><div><i>http_port 880 intercept</i></div><div><i>https_port 843 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/usr/local/squid/etc/cert.pem key=</i><i>/usr/local/squid/etc</i><i>/cert.pem options=NO_SSLv3:NO_SSLv2 cipher=ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:DHE-RSA-CAMELLIA128-SHA:AES128-SHA:RC4-SHA:HIGH:!aNULL:!MD5:!ADH</i></div><div><i>sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s </i><i>/usr/local/squid/etc/</i><i>ssl/certs -M 4MB sslcrtd_children 8 startup=1 idle=1</i></div></div><div><i><br></i></div><div><div><i>#### Denied Users</i></div><div><i>acl equipos_denegados src "</i><i>/usr/local/squid/etc</i><i>/equipos_denegados"</i></div><div><i>http_access deny equipos_denegados</i></div><div><i>deny_info DENY equipos_denegados</i></div><div><i><br></i></div><div><i>#### Allowed users</i></div><div><i>acl equipos_permitidos src "/</i><i>usr/local/squid/etc</i><i>/equipos_permitidos"</i></div><div><i>http_access allow equipos_permitidos</i></div><div><i>####</i></div><div><i><br></i></div><div><i>#### Denied Sites</i></div><div><i>acl sitios_denegados dstdomain "</i><i>/usr/local/squid/etc</i><i>/sitiosdenegados"</i></div><div><i>http_access deny sitios_denegados</i></div><div><i>####</i></div><div><i><br></i></div><div><i>#### Block HTTPS</i></div><div><i>acl blockhttps ssl::server_name  "/</i><i>usr/local/squid/etc</i><i>/sitiosdenegados"</i></div><div><i>ssl_bump terminate blockhttps</i></div><div><i>ssl_bump splice equipos_permitidos</i></div><div><i>ssl_bump peek all</i></div><div><i>ssl_bump splice all</i></div><div><i>####</i></div></div><div><i><br></i></div><div><div><i>sslproxy_cert_error allow all</i></div><div><i>sslproxy_flags DONT_VERIFY_PEER</i></div><div><i>sslproxy_options NO_SSLv3:NO_SSLv2</i></div></div><div><br></div><div><br></div><div>Basically I'm using squid to allow everything and deniy some users (hosts) and some sites (http and https).</div><div><br></div><div>If I use IE or Firefox (Win/Lin), everything works great, if I access a site via HTTP the user see a message and if he access via HTTPS the conecction is terminated and there is an error on the browser.</div><div><br></div><div>But, If I access any google site using chrome (windows / linux) the sites are getting bumped (<a href="http://google.com" target="_blank">google.com</a>, google.com.X <a href="http://youtube.com" target="_blank">youtube.com</a>, etc)</div><div><br></div><div>The browser complains with a "Your conecction is not private" and the certificate is my own certificate.</div><div><br></div><div>I'm missing something ?</div><div><br></div><div>I only what to splice everythng.</div><div><br></div><div>Thanks</div><div><br></div></div>
<br>_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
<br></blockquote></div><br></div>