<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Arial Rounded MT Bold";
panose-1:2 15 7 4 3 5 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 90.0pt 72.0pt 90.0pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If the splice doesn’t solve the issue what would you expect squid to do?<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Spilce equals routing…<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>The other solution which ufdbguard implements is probing the destination hosts.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If you want a solution I can try to see if it is possible but I cannot guarantee that you or anyone will like it.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Eliezer<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial Rounded MT Bold","sans-serif";color:#1F497D'>----<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Arial Rounded MT Bold","sans-serif";color:#1F497D'><a href="http://ngtech.co.il/lmgtfy/"><span style='color:#0563C1'>Eliezer Croitoru</span></a><br>Linux System Administrator<br>Mobile: +972-5-28704261<br>Email: eliezer@ngtech.co.il<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><img border=0 width=183 height=69 id="Picture_x0020_1" src="cid:image001.png@01D1D7EA.06237080"><o:p></o:p></span></p></div><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext'> Yuri Voinov [mailto:yvoinov@gmail.com] <br><b>Sent:</b> Wednesday, July 6, 2016 11:49 PM<br><b>To:</b> Eliezer Croitoru; squid-users@lists.squid-cache.org<br><b>Subject:</b> Re: [squid-users] host_verify_strict and wildcard SNI<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><br>-----BEGIN PGP SIGNED MESSAGE----- <br>Hash: SHA256 <br> <br>I am very seriously concerned about the issue CDN, because every day I discover more and more problematic sites, namely in connection with the CDN and HTTPS. For more than four Squid servers are experiencing these problems in my network. And I still do not see any reason why any solutions to these problems.<br><br>Moreover, the splice does not solve these problems.<br><br>Just skip the whole networks in the proxy bypass.<br><br>What is totally unacceptable. Traffic is money. And a lot of money.<br><br>07.07.2016 2:38, Eliezer Croitoru пишет:<br>> Hey Yuri,<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > I am not the "standards" guy but I do know that if something<o:p></o:p></p><p class=MsoNormal> can be encoded<br><br><o:p></o:p></p><p class=MsoNormal> > it can be "decoded".<br><br><o:p></o:p></p><p class=MsoNormal> > There are special cases which needs special "spice" which<o:p></o:p></p><p class=MsoNormal> sometimes is not<br><br><o:p></o:p></p><p class=MsoNormal> > present here or there on the shelves.<br><br><o:p></o:p></p><p class=MsoNormal> > To my disappointment and happiness there are very good<o:p></o:p></p><p class=MsoNormal> products out there<br><br><o:p></o:p></p><p class=MsoNormal> > which are not squid with much better fines invested in them.<br><br><o:p></o:p></p><p class=MsoNormal> > I can clearly say that the Squid-Cache project is not the<o:p></o:p></p><p class=MsoNormal> most "advanced"<br><br><o:p></o:p></p><p class=MsoNormal> > piece of software in the market and I know that it cannot<o:p></o:p></p><p class=MsoNormal> compare to let say<br><br><o:p></o:p></p><p class=MsoNormal> > even 500 coding programmers work.<br><br><o:p></o:p></p><p class=MsoNormal> > I have seen couple products that are open source which tries<o:p></o:p></p><p class=MsoNormal> to provide<br><br><o:p></o:p></p><p class=MsoNormal> > functionality which is similar to squid only in the protocol<o:p></o:p></p><p class=MsoNormal> level and a<br><br><o:p></o:p></p><p class=MsoNormal> > simple proxy with great luck.<br><br><o:p></o:p></p><p class=MsoNormal> > Some of them are not as great as they might seems but I think<o:p></o:p></p><p class=MsoNormal> that a young<br><br><o:p></o:p></p><p class=MsoNormal> > programmer with enough investment can learn the required<o:p></o:p></p><p class=MsoNormal> subjects to<br><br><o:p></o:p></p><p class=MsoNormal> > implement a solution.<br><br><o:p></o:p></p><p class=MsoNormal> > However, here admins, users, programmers can ask questions as<o:p></o:p></p><p class=MsoNormal> they please<br><br><o:p></o:p></p><p class=MsoNormal> > and I encourage to ask.<br><br><o:p></o:p></p><p class=MsoNormal> > I try to answer as much as I can and in many cases my<o:p></o:p></p><p class=MsoNormal> knowledge might not<br><br><o:p></o:p></p><p class=MsoNormal> > be enough but I am trying to answer what I can with hope that<o:p></o:p></p><p class=MsoNormal> it will help.<br><br><o:p></o:p></p><p class=MsoNormal> > And unlike MD Doctors SysAdmins do not need to swear on<o:p></o:p></p><p class=MsoNormal> something like "do<br><br><o:p></o:p></p><p class=MsoNormal> > not harm" and I think it's a good aspect on things.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > I am still looking for clues about cloudflare since I have<o:p></o:p></p><p class=MsoNormal> yet to see the<br><br><o:p></o:p></p><p class=MsoNormal> > person who hold the keys for them.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > Eliezer<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > ----<br><br><o:p></o:p></p><p class=MsoNormal> > Eliezer Croitoru <a href="http://ngtech.co.il/lmgtfy/"><http://ngtech.co.il/lmgtfy/></a> <br><br><o:p></o:p></p><p class=MsoNormal> > Linux System Administrator<br><br><o:p></o:p></p><p class=MsoNormal> > Mobile: +972-5-28704261<br><br><o:p></o:p></p><p class=MsoNormal> > Email: <a href="mailto:eliezer@ngtech.co.il">eliezer@ngtech.co.il</a><br><br><o:p></o:p></p><p class=MsoNormal> > <br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > From: Yuri Voinov [<a href="mailto:yvoinov@gmail.com">mailto:yvoinov@gmail.com</a>] <br><br><o:p></o:p></p><p class=MsoNormal> > Sent: Wednesday, July 6, 2016 11:15 PM<br><br><o:p></o:p></p><p class=MsoNormal> > To: Eliezer Croitoru; <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br><br><o:p></o:p></p><p class=MsoNormal> > Subject: Re: [squid-users] host_verify_strict and wildcard<o:p></o:p></p><p class=MsoNormal> SNI<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > I know. Just asked. Since I am familiar with the standards.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > 07.07.2016 1:54, Eliezer Croitoru пишет:<br><br><o:p></o:p></p><p class=MsoNormal> > > Hey Yuri,<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > These two subjects are not related directly to<o:p></o:p></p><p class=MsoNormal> each other but<br><br><o:p></o:p></p><p class=MsoNormal> > they might have something in common.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Squid expects clients connections to meet the<o:p></o:p></p><p class=MsoNormal> basic RFC6066<br><br><o:p></o:p></p><p class=MsoNormal> > section 3:<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > <a href="https://tools.ietf.org/html/rfc6066#section-3">https://tools.ietf.org/html/rfc6066#section-3</a><br><br><o:p></o:p></p><p class=MsoNormal> > <a href="https://tools.ietf.org/html/rfc6066"><https://tools.ietf.org/html/rfc6066></a><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Which states that a host name should be there and<o:p></o:p></p><p class=MsoNormal> the legal<br><br><o:p></o:p></p><p class=MsoNormal> > characters of a hostname from both rfc1035 and rc6066<o:p></o:p></p><p class=MsoNormal> are very<br><br><o:p></o:p></p><p class=MsoNormal> > speicifc.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > If a specific software are trying to request a<o:p></o:p></p><p class=MsoNormal> wrong sni name<br><br><o:p></o:p></p><p class=MsoNormal> > it's an issue in the client side request or software<o:p></o:p></p><p class=MsoNormal> error<br><br><o:p></o:p></p><p class=MsoNormal> > handling and enforcement.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > A http server would probably respond with a 4XX<o:p></o:p></p><p class=MsoNormal> response code<br><br><o:p></o:p></p><p class=MsoNormal> > or the default certificate.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > There are other options of course but the first<o:p></o:p></p><p class=MsoNormal> thing to<br><br><o:p></o:p></p><p class=MsoNormal> > check is if the client is a real browser or some<o:p></o:p></p><p class=MsoNormal> special creature<br><br><o:p></o:p></p><p class=MsoNormal> > that tries it's luck with a special form of ssl.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > To my understanding host_verify_strict tries to<o:p></o:p></p><p class=MsoNormal> enforce basic<br><br><o:p></o:p></p><p class=MsoNormal> > security levels while in a transparent proxy the rules<o:p></o:p></p><p class=MsoNormal> will always<br><br><o:p></o:p></p><p class=MsoNormal> > change.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Eliezer<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > ----<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Eliezer Croitoru<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Linux System Administrator<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Mobile: +972-5-28704261<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Email: <a href="mailto:eliezer@ngtech.co.il">eliezer@ngtech.co.il</a><o:p></o:p></p><p class=MsoNormal> <a href="mailto:eliezer@ngtech.co.il"><mailto:eliezer@ngtech.co.il></a><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > -----Original Message-----<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > From: squid-users<br><br><o:p></o:p></p><p class=MsoNormal> > [<a href="mailto:squid-users-bounces@lists.squid-cache.org">mailto:squid-users-bounces@lists.squid-cache.org</a>] On<o:p></o:p></p><p class=MsoNormal> Behalf Of<br><br><o:p></o:p></p><p class=MsoNormal> > Yuri Voinov<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Sent: Wednesday, July 6, 2016 10:43 PM<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > To: <a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br><br><o:p></o:p></p><p class=MsoNormal> > <a href="mailto:squid-users@lists.squid-cache.org"><mailto:squid-users@lists.squid-cache.org></a><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Subject: Re: [squid-users] host_verify_strict and<o:p></o:p></p><p class=MsoNormal> wildcard<br><br><o:p></o:p></p><p class=MsoNormal> > SNI<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Sounds familiar.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Do you experience occasional problems with<o:p></o:p></p><p class=MsoNormal> CloudFlare sites?<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > 06.07.2016 20:36, Steve Hill пишет:<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > > I'm using a transparent proxy and SSL-peek<o:p></o:p></p><p class=MsoNormal> and have hit<br><br><o:p></o:p></p><p class=MsoNormal> > a problem with<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > an iOS app which seems to be doing broken things<o:p></o:p></p><p class=MsoNormal> with the<br><br><o:p></o:p></p><p class=MsoNormal> > SNI.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > > The app is making an HTTPS connection to a<o:p></o:p></p><p class=MsoNormal> server and<br><br><o:p></o:p></p><p class=MsoNormal> > presenting an<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > SNI with a wildcard in it - i.e. "*.example.com". <o:p></o:p></p><p class=MsoNormal> I'm not<br><br><o:p></o:p></p><p class=MsoNormal> > sure if this<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > behaviour is actually illegal, but it certainly<o:p></o:p></p><p class=MsoNormal> doesn't seem<br><br><o:p></o:p></p><p class=MsoNormal> > to make a<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > lot of sense to me.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > > Squid then internally generates a "CONNECT<br><br><o:p></o:p></p><p class=MsoNormal> > *.example.com:443" request<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > based on the peeked SNI, which is picked up by<br><br><o:p></o:p></p><p class=MsoNormal> > hostHeaderIpVerify().<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > Since *.example.com isn't a valid DNS name, Squid<o:p></o:p></p><p class=MsoNormal> rejects the<br><br><o:p></o:p></p><p class=MsoNormal> > connection<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > on the basis that *.example.com doesn't match the<o:p></o:p></p><p class=MsoNormal> IP address<br><br><o:p></o:p></p><p class=MsoNormal> > that the<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > client is connecting to.<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > > Unfortunately, I can't see any way of working<o:p></o:p></p><p class=MsoNormal> around the<br><br><o:p></o:p></p><p class=MsoNormal> > problem -<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > "host_verify_strict" is disabled, but according to<o:p></o:p></p><p class=MsoNormal> the docs,<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > > "For now suspicious intercepted CONNECT<o:p></o:p></p><p class=MsoNormal> requests are<br><br><o:p></o:p></p><p class=MsoNormal> > always responded<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > to with an HTTP 409 (Conflict) error page."<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > > As I understand it, turning<o:p></o:p></p><p class=MsoNormal> host_verify_strict on causes<br><br><o:p></o:p></p><p class=MsoNormal> > problems with<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > CDNs which use DNS tricks for load balancing, so<o:p></o:p></p><p class=MsoNormal> I'm not sure<br><br><o:p></o:p></p><p class=MsoNormal> > I<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > understand the rationale behind preventing it from<o:p></o:p></p><p class=MsoNormal> being<br><br><o:p></o:p></p><p class=MsoNormal> > turned off for<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> > > CONNECT requests?<br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal> ><br><br><o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'> ><br>-----BEGIN PGP SIGNATURE----- <br>Version: GnuPG v2 <br> <br>iQEcBAEBCAAGBQJXfW65AAoJENNXIZxhPexGWaYIAM0SDMtDNaeqMhQAzPn2vIBL <br>enqBVF1yyg532T3zGg/QwznS6dz2qKiNuMTmVfRgX0Z7QWOe/IiLlDPHboe11MXe <br>Y2r5JOsPht3uq/iWBPewdFlEkzLxvWlLuG65Rd9TOTmuTvM5OKTnHIHUIhXzEQXW <br>NUITE/FlVKoUQb5mK4wOMoDCX1gXQ1FKm77F8HxsGdwlLqx4YbMqH4J1AVJu/FwZ <br>IRNbnXvqXQIEn+iePPwghPxsIDl7iDzQ2H70RDeATdClaPco9bEbvxv/6pdS2hI0 <br>Al9bCx7vNbp0pEgUmzX+O9KOWQAu0s2qhxbJ1z9eZnXFciysPBsZJf1LJ4JPbrg= <br>=bLEa <br>-----END PGP SIGNATURE----- <o:p></o:p></p></div></body></html>