
<div dir="ltr"><div>Thanks for the info, Alex. That's very helpful about cleaning up my ACLs. Those ACLs are a collection of ACLs that others have suggested I use, but it would be nice to make them less confusing for me.</div><div><br></div><div>With my limited understanding of how sslbump works, the idea for squid to play MITM is that a self-signed cert like squidCA.der is imported to a browser's root CAs. I have left a copy of the self-signed cert named squidCA.pem in the squid's cert directory which only works if squid is told to not verify the peer. When following the instructions how to generate the self-signed cert with openssl, the .pem file must be converted to a .der file for the browser to accept it. It just dawned on me that, could this be related to the fact that the squid self-signed certs are not named the same?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 3, 2016 at 3:01 PM, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 08/03/2016 08:45 AM, Stanford Prescott wrote:<br>

<br>

> ssl_bump none localhostgreen<br>

<span>> ssl_bump peek tls_s1_connect all<br>

> ssl_bump splice tls_s2_client_hello tls_to_splice<br>

> ssl_bump stare tls_s2_client_hello all<br>

> ssl_bump bump tls_s3_server_hello all<br>

<br>

</span>AFAICT, the above is too complex. You can simplify it with:<br>

<br>

  ssl_bump splice localhostgreen<br>

  ssl_bump peek tls_s1_connect<br>

  ssl_bump splice tls_to_splice<br>

  ssl_bump stare all<br>

  ssl_bump bump all<br>

<br>

and, after polishing your ACLs a little, possibly even with:<br>

<br>

  ssl_bump splice transactions_to_splice<br>

  ssl_bump peek tls_s1_connect<br>

  ssl_bump stare all<br>

  ssl_bump bump all<br>

<br>

where transactions_to_splice is "localhostgreen or (tls_s2_client_hello<br>

and tls_to_splice)".<br>

<br>

<br>

As for your original question, I recommend figuring out why Squid cannot<br>

verify the peer. For example, your setup might be missing fresh<br>

certificates for some well-known Root CAs. I do not know a good way to<br>

figure out why peer verification does not work, but analyzing cache.log<br>

with high-enough debugging level should be doable, especially if you can<br>

reproduce the problem using a single transaction:<br>

<br>

<a href="http://wiki.squid-cache.org/SquidFaq/BugReporting#Debugging_a_single_transaction" target="_blank" rel="noreferrer">http://wiki.squid-cache.org/SquidFaq/BugReporting#Debugging_a_single_transaction</a><br>

<br>

<br>

HTH,<br>

<br>

Alex.<br>

<br>

</blockquote></div><br></div>