<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 20 April 2016 at 18:38, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span>On 04/20/2016 08:16 AM, Odhiambo Washington wrote:<br>
<br>
> I even wonder if this config is correct:<br>
><br>
</span>> acl ssl_bump_broken_sites  dstdomain ...<br>
> ssl_bump none ssl_bump_broken_sites<br>
<span>> ssl_bump peek step1<br>
> ssl_bump stare step2<br>
> ssl_bump bump all<br>
<br>
</span>You did not say what you want Squid to do, so it is difficult to say<br>
whether the config is correct. However, the following combinations look<br>
strange to me:<br>
<br>
* old "none" and new "peek" actions; use "splice" instead of "none"<br>
* sometimes contradictory "peek" and "stare" actions; pick one kind<br>
* sometimes contradictory "peek" and "bump" actions; if you intend to<br>
bump, use "stare"<br></blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
Also, you may want to use ssl::server_name ACL instead of dstdomain.<br>
Remember that Squid may have no domain information until it is too late<br>
to splice. Here is a polished config that may or may not do what you want:<br>
<br>
  # Bump aggressively, including discovered-too-late broken_sites:<br>
  acl ssl_bump_broken_sites ssl::server_name ...<br>
  ssl_bump splice ssl_bump_broken_sites<br>
  ssl_bump stare all<br>
  ssl_bump bump all<br></blockquote><div><br></div><div>Hi Alex,</div><div><br></div><div>Thank you for looking into and advising about this. I really do not want to get intrusive on the setup.</div><div>All I want is the ability to intercept SSL sites and control access to them using TIME ACLs. That's all.</div><div>Sites should be accessed without any interference apart from determining at what time they can be</div><div>accessed by certain restricted users. Think about restricting <a href="http://facebook.com" target="_blank">facebook.com</a>, <a href="http://youtube.com" target="_blank">youtube.com</a>, etc which</div><div>otherwise I would not have control over in a normal intercept. That's the only reaon I need this ssl_bump stuff.</div><div><br></div><div>So in simple:</div><div>1. UserX tries to access <a href="http://facebook.com/youtube.com" target="_blank">facebook.com/youtube.com</a></div><div>2. I intercept transparently https traffic </div><div>3. I tell squid "don't allow this user to access <a href="http://facebook.com" target="_blank">facebook.com</a> at this time, but let them access at some-other-time</div><div>4. If time is right, let userX access the site.</div><div><br></div><div>I still need to wrap my hear around thise 'stare' and 'peek' and what happens with them.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span>
<br>
> I had to import my CA to all devices (as a trusted CA) on<br>
</span>> the network so that they don't get the MITM notification. [...] People<br>
<span>> don't like intrusive changes.<br>
<br>
</span>"ssl_bump bump" implies intrusiveness. You need to decide whether<br>
bumping connections is important enough to be intrusive. The alternative<br>
is passive monitoring/splicing that does not require intrusive changes<br>
but gives you less control. Pick your poison.<br>
<span><font color="#888888"><br>
Alex.<br></font></span></blockquote><div><br></div><div><br></div><div>So looks like all I need is a setup of passive monitoring, given my explanation above, right? </div><div>Don't bump, just monitor and restrict access to some users based on time. Generally I want to</div><div>control access to those sites users usually waste time on during work hours:-)</div><div><br></div></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">"</span></div></div></div>
</div></div>