<div dir="ltr">Yeah I know that, but there are issues with invoking peek: like the host forgery checks suddenly kick in, and squid starts seeing SSL errors (probably due to CentOS6 not supporting the newest standards that Chrome uses) and then squid starts blocking things. That's why I'm sticking to this simplest case for the moment and avoid the "peek" call<div><br><div><br></div><div>Thanks!</div><div><br></div><div>Jason</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 21, 2016 at 8:53 PM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 21/03/2016 10:29 a.m., Jason Haar wrote:<br>
> Hi there<br>
><br>
> I'm wanting to use tls intercept to just log (well OK, and potentially<br>
> block) HTTPS sites based on hostnames (from SNI), but have had problems<br>
> even in peek-and-splice mode. So I'm willing to compromise and instead just<br>
> intercept that traffic, log it, block on IP addresses if need be, and don't<br>
> use ssl-bump beyond that.<br>
><br>
> So far the following seems to work perfectly, can someone confirm this is<br>
> "supported" - ie that I'm not relying on some bug that might get fixed<br>
> later? ;-)<br>
><br>
<br>
</span>It is supporteed.<br>
<span class=""><br>
> sslcrtd_program /usr/lib64/squid/ssl_crtd -s /var/lib/squid/ssl_db -M 256MB<br>
> sslcrtd_children 32 startup=15 idle=5<br>
> acl SSL_https port 443<br>
> ssl_bump splice SSL_https<br>
> acl BlacklistedHTTPSsites dstdomain<br>
> "/etc/squid/acl-BlacklistedHTTPSsites.txt"<br>
> http_access deny BlacklistedHTTPSsites<br>
><br>
> The "bug" comment comes down to how acl seems to work. I half-expected the<br>
> above not to work - but it does. It would appear squid will treat an<br>
> intercept's dst IP as the "dns name" as that's all it's got - so<br>
> "dstdomain" works fine for both CONNECT and intercept IFF the acl contains<br>
> IP addresses<br>
<br>
</span>This is because the ssl_bump rules are saying to splice immediately when<br>
only the pseudo-CONNECT with an IP address is known.<br>
<br>
If you use this:<br>
 ssl_bump peek all<br>
 ssl_bump splice all<br>
<br>
it will peek at the client SNI and server public cert details before<br>
dropping back to a transparent pass-tru. Then it will have that domain<br>
and any other non-encrypted details available for logging.<br>
<br>
Amos<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Cheers</div><div><br></div><div>Jason Haar</div><div>Information Security Manager, Trimble Navigation Ltd.</div><div>Phone: +1 408 481 8171</div><div>PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1</div></div></div>
</div>