<div dir="ltr">Hi,<div><br></div><div>I am trying my hands on ssl_bump and it's almost working, but that's ish-ish.. because I have several problems.</div><div><br></div><div>I even wonder if this config is correct:</div><div><br></div><div><div><b>acl step1 at_step SslBump1</b></div><div><b>acl step2 at_step SslBump2</b></div><div><b>acl step3 at_step SslBump3</b></div><div><b><br></b></div><div><b>acl ssl_bump_broken_sites  dstdomain "/usr/local/etc/squid/ssl_bump_broken_sites.txt"</b></div><div><b>ssl_bump none ssl_bump_broken_sites</b></div><div><b><br></b></div><div><b><br></b></div><div><b>acl step1 at_step SslBump1</b></div><div><b>ssl_bump peek step1</b></div><div><b>ssl_bump stare step2</b></div><div><b>ssl_bump bump all</b></div><div><b><br></b></div><div><b>sslproxy_capath /etc/ssl/certs</b></div><div><b>sslproxy_cert_error allow all</b></div><div><b>#sslproxy_cert_error deny all</b></div><div><b>sslproxy_flags DONT_VERIFY_PEER</b></div><div><b>sslproxy_cafile /usr/local/share/certs/ca-root-nss.crt</b></div><div><br></div><div><br></div><div><cut> <br></div><div class="gmail_quote"><div lang="EN-US" link="#0563C1" vlink="#954F72"><p class="MsoNormal"><u></u></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)">The following error was encountered while trying to retrieve the URL: <a href="https://org.ke.m-pesa.com/*" target="_blank"><span style="color:blue">https://org.ke.m-pesa.com/*</span></a><u></u><u></u></span></p><p class="MsoNormal"><b><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)">Failed to establish a secure connection to 196.201.214.212</span></b><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)">The system returned:<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:10pt;font-family:Arial,sans-serif;color:rgb(30,30,30)">(92) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)">Handshake with SSL server failed: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)">This proxy and the remote host failed to negotiate a mutually acceptable security settings for handling your request. It is possible that the remote host does not support secure connections, or the proxy is not satisfied with the host security credentials.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)">Your cache administrator is <a href="mailto:%3codhiambo@gmail.com%3e?subject=CacheErrorInfo%20-%20ERR_SECURE_CONNECT_FAIL&body=CacheHost%3A%20gw.crownkenya.com%0D%0AErrPage%3A%20ERR_SECURE_CONNECT_FAIL%0D%0AErr%3A%20(92)%20Protocol%20error%0D%0ATimeStamp%3A%20Wed,%2020%20Apr%202016%2013%3A22%3A02%20GMT%0D%0A%0D%0AClientIP%3A%20192.168.54.63%0D%0AServerIP%3A%20196.201.214.212%0D%0A%0D%0AHTTP%20Request%3A%0D%0ACONNECT%20%2F%20HTTP%2F1.1%0AHost%3A%20196.201.214.212%3A443%0D%0A%0D%0A%0D%0A" target="_blank"><span style="color:blue"><odhiambo@gmail.com></span></a>.<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)"></cut></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:Verdana,sans-serif;color:rgb(30,30,30)"></span></p></div></div><div><br></div><div><br></div>I thought I could mitigate that with the:</div><div><br></div><div><div><b>acl ssl_bump_broken_sites  dstdomain "/usr/local/etc/squid/ssl_bump_broken_sites.txt"</b></div><div><b>ssl_bump none ssl_bump_broken_sites</b></div><div><b><br></b></div><div>..but that doesn't do it...</div><div><br></div><div>Secondly, I had to import my CA to all devices (as a trusted CA) on the network so that they don't get the MITM notification. This is a challenge, because I have to do the same for smart phones too, and that is not easy. People don't like intrusive changes. For example on Android phone, you have to set screen security before you can import such a CA, and after you do, you cannot disable the screen security! Now, that is not something people want.</div><div><br></div><div>Another issue is that we allow guests who come in to the premises to use our Wi-Fi (on a different SSID). Without them importing the CA, they get the MITM notification and cannot browse. This is because they get assigned IPs in the same subnet we use in the office.</div><div><br></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">"</span></div></div></div>
</div></div>