<div dir="ltr"><div>Hi Alex,</div><div><br></div><div>I have now changed to *<span style="font-size:12.8px">configurations suggested specifically for </span><span style="font-size:12.8px">your use case, on this email thread* :)</span></div><div><span style="font-size:12.8px"><br></span></div><div><br></div><div><br></div><div>acl no_ssl_interception ssl::server_name "/usr/local/etc/squid/ssl_bump_broken_sites.txt"</div><div>ssl_bump splice no_ssl_interception</div><div>ssl_bump stare all</div><div>ssl_bump bump all</div><div><br></div><div>Now, suppose, as I think in my mind, bumping isn't really what I need, can I just comment out 'ssl_bump bump all'  and sit easy or should I switch to</div><div>ssl_bump splice all ??</div><div><br></div><div>I am sorry for my confusion...I think I have been on this way too long that my small brain has reached /etc (saturation point).</div><div><br></div><div>Thank you once again.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 21 April 2016 at 21:06, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 04/21/2016 08:12 AM, Odhiambo Washington wrote:<br>
<br>
> acl no_ssl_interception ssl::server_name ...<br>
> ssl_bump splice no_ssl_interception<br>
</span><span class="">> ssl_bump stare step2<br>
> ssl_bump splice all<br>
<br>
</span>You are mixing splice and stare now. There are two groups of actions:<br>
<br>
* peek and then splice<br>
* stare and then bump<br>
<br>
Do not mix actions from different groups together unless you know what<br>
you are doing.<br>
<span class=""><br>
<br>
> So basically I should just have two options, I think, no?? Like<br>
><br>
> ssl_bump stare step2<br>
> ssl_bump splice all<br>
<br>
</span>Two bugs in this config:<br>
<br>
1. It will splice everything during step #1. It is equivalent to:<br>
<br>
   ssl_bump splice all<br>
<br>
<br>
2. To quote the wiki page:<br>
<br>
stare (step2): Receive server certificate while preserving the<br>
possibility of bumping the connection. Staring at the server certificate<br>
usually precludes future splicing of the connection.<br>
<br>
squid.conf.documented has very similar text as well.<br>
<br>
You are telling Squid to splice do exactly what the documentation tells<br>
you is not usually possible.<br>
<br>
<br>
I can understand that it may be difficult to find and interpret<br>
documentation correctly. I can understand that it is difficult to<br>
evaluate a given configuration correctly. What I cannot understand is<br>
why you are not starting with configurations suggested specifically for<br>
your use case, on this email thread.<br>
<span class=""><br>
<br>
> If one day, for some reason I want to bump, then I could change to:<br>
><br>
</span><span class="">> ssl_bump splice no_ssl_interception<br>
> ssl_bump stare step2<br>
> ssl_bump bump all<br>
<br>
</span>Similar to #1 above, this will bump all connections not matching the<br>
[misnamed] no_ssl_interception during step1.<br>
<br>
The first matching action wins. During step1, that action is "bump" from<br>
your last rule if no_ssl_interception does not match.<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">"</span></div></div></div>
</div>