<div dir="ltr">I have had my squid implementation for sslbump set up and working for some time now. I have had several people point out that my use of "sslproxyflags DONT_VERIFY_PEER" is dangerous from a security standpoint. When I was first trying to get sslbump working it would not work until I saw a suggestion somewhere that that sslproxyflag could be used. When I tried it, sslbump started working.<div><br></div><div>After several configurations adding the new peek+splice and peek+bump features, I still am not able to remove "sslproxyflags DONT_VERIFY_PEER". Whenever I try removing it, I get the error message that my browser is trying to connect to an unsecured site or "Untrusted connection" whenever it tries to connect to an https site.</div><div><br></div><div>Here is my squid.conf:</div><div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><i>visible_hostname smoothwall</i></div><div><i><br></i></div><div><i># Uncomment the following to send debug info to /var/log/squid/cache.log</i></div><div><i>#debug_options ALL,1 33,2 28,9</i></div><div><i><br></i></div><div><i># ACCESS CONTROLS</i></div><div><i># ----------------------------------------------------------------</i></div><div><i>acl localhostgreen src 10.40.40.1</i></div><div><i>acl localnetgreen src <a href="http://10.40.40.0/24">10.40.40.0/24</a></i></div><div><i>acl SWE_subnets          src "/var/smoothwall/mods/proxy/acls/src_subnets.acl"</i></div><div><i><br></i></div><div><i>acl SSL_ports port 445 443 441 563</i></div><div><i>acl Safe_ports port 80  <span class="" style="white-space:pre">    </span>  <span class="" style="white-space:pre">       </span># http</i></div><div><i>acl Safe_ports port 81  <span class="" style="white-space:pre"> </span>  <span class="" style="white-space:pre">       </span># smoothwall http</i></div><div><i>acl Safe_ports port 21  <span class="" style="white-space:pre">      </span>  <span class="" style="white-space:pre">       </span># ftp </i></div><div><i>acl Safe_ports port 445 443 441 563<span class="" style="white-space:pre">      </span># https, snews</i></div><div><i>acl Safe_ports port 70     <span class="" style="white-space:pre">             </span># gopher</i></div><div><i>acl Safe_ports port 210    <span class="" style="white-space:pre">   </span>   <span class="" style="white-space:pre">      </span># wais  </i></div><div><i>acl Safe_ports port 1025-65535<span class="" style="white-space:pre">         </span># unregistered ports</i></div><div><i>acl Safe_ports port 280       <span class="" style="white-space:pre">           </span># http-mgmt</i></div><div><i>acl Safe_ports port 488       <span class="" style="white-space:pre">            </span># gss-http </i></div><div><i>acl Safe_ports port 591       <span class="" style="white-space:pre">           </span># filemaker</i></div><div><i>acl Safe_ports port 777       <span class="" style="white-space:pre">            </span># multiling http</i></div><div><i><br></i></div><div><i>acl CONNECT method CONNECT</i></div><div><i><br></i></div><div><i># TAG: http_access</i></div><div><i># ----------------------------------------------------------------</i></div><div><i><br></i></div><div><i>http_access allow SWE_subnets</i></div><div><i><br></i></div><div><i><br></i></div><div><i>http_access allow localhost</i></div><div><i>http_access deny !Safe_ports</i></div><div><i>http_access deny CONNECT !SSL_ports</i></div><div><i><br></i></div><div><i>http_access allow localnetgreen</i></div><div><i>http_access allow CONNECT localnetgreen</i></div><div><i><br></i></div><div><i>http_access allow localhostgreen</i></div><div><i>http_access allow CONNECT localhostgreen</i></div><div><i><br></i></div><div><i># http_port and https_port</i></div><div><i>#----------------------------------------------------------------------------</i></div><div><i><br></i></div><div><i># For forward-proxy port. Squid uses this port to serve error pages, ftp icons and communication with other proxies.</i></div><div><i>#----------------------------------------------------------------------------</i></div><div><i>http_port 3127</i></div><div><i><br></i></div><div><i>http_port <a href="http://10.40.40.1:800">10.40.40.1:800</a> intercept</i></div><div><i>https_port <a href="http://10.40.40.1:808">10.40.40.1:808</a> intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/var/smoothwall/mods/proxy/ssl_cert/squidCA.pem sslflags=VERIFY_CRL_ALL options=NO_SSLv2,NO_SSLv3,No_Compression dhparams=/var/smoothwall/mods/proxy/ssl_cert/dhparam.pem</i></div><div><i><br></i></div><div><i><br></i></div><div><i>http_port <a href="http://127.0.0.1:800">127.0.0.1:800</a> intercept</i></div><div><i><br></i></div><div><i>sslproxy_session_cache_size 4 MB</i></div><div><i><br></i></div><div><i>ssl_bump none localhostgreen</i></div><div><i><br></i></div><div><i>sslproxy_options NO_SSLv2,NO_SSLv3,No_Compression</i></div><div><i>sslproxy_cipher ALL:!SSLv2:!SSLv3:!ADH:!DSS:!MD5:!EXP:!DES:!PSK:!SRP:!RC4:!IDEA:!SEED:!aNULL:!eNULL</i></div><div><i><br></i></div><div><i>acl tls_s1_connect at_step SslBump1</i></div><div><i>acl tls_s2_client_hello at_step SslBump2</i></div><div><i>acl tls_s3_server_hello at_step SslBump3</i></div><div><i><br></i></div><div><i>acl tls_allowed_hsts ssl::server_name .<a href="http://akamaihd.net">akamaihd.net</a></i></div><div><i>acl tls_server_is_bank ssl::server_name .<a href="http://wellsfargo.com">wellsfargo.com</a></i></div><div><i>acl tls_to_splice any-of tls_allowed_hsts tls_server_is_bank</i></div><div><i><br></i></div><div><i>ssl_bump peek tls_s1_connect all</i></div><div><i>ssl_bump splice tls_s2_client_hello tls_to_splice</i></div><div><i>ssl_bump stare tls_s2_client_hello all</i></div><div><i>ssl_bump bump tls_s3_server_hello all</i></div><div><i><br></i></div><div><i>sslproxy_cert_error deny all</i></div><div><i>sslproxy_flags DONT_VERIFY_PEER</i></div><div><i><br></i></div><div><i>sslcrtd_program /var/smoothwall/mods/proxy/libexec/ssl_crtd -s /var/smoothwall/mods/proxy/lib/ssl_db -M 4MB</i></div><div><i>sslcrtd_children 5</i></div><div><i><br></i></div><div><i>http_access deny all</i></div><div><i><br></i></div><div><i>cache_replacement_policy heap GDSF</i></div><div><i>memory_replacement_policy heap GDSF</i></div><div><i><br></i></div><div><i># CACHE OPTIONS</i></div><div><i># ----------------------------------------------------------------------------</i></div><div><i>cache_effective_user squid</i></div><div><i>cache_effective_group squid</i></div><div><i><br></i></div><div><i>cache_swap_high 92</i></div><div><i>cache_swap_low 90</i></div><div><i><br></i></div><div><i>cache_access_log stdio:/var/log/squid/access.log</i></div><div><i>cache_log /var/log/squid/cache.log</i></div><div><i>cache_mem 64 MB</i></div><div><i><br></i></div><div><i>cache_dir aufs /var/spool/squid/cache 1024 16 256</i></div><div><i><br></i></div><div><i>maximum_object_size 33 MB</i></div><div><i><br></i></div><div><i>minimum_object_size 0 KB</i></div><div><i><br></i></div><div><i><br></i></div><div><i>request_body_max_size 0 KB</i></div><div><i><br></i></div><div><i># OTHER OPTIONS</i></div><div><i># ----------------------------------------------------------------------------</i></div><div><i>#via off</i></div><div><i>forwarded_for off</i></div><div><i><br></i></div><div><i>pid_filename /var/run/squid.pid</i></div><div><i><br></i></div><div><i>shutdown_lifetime 10 seconds</i></div><div><i>#icp_port 3130</i></div><div><i><br></i></div><div><i>half_closed_clients off</i></div><div><i>icap_enable on</i></div><div><i>icap_send_client_ip on</i></div><div><i>icap_send_client_username on</i></div><div><i>icap_client_username_encode off</i></div><div><i>icap_client_username_header X-Authenticated-User</i></div><div><i>icap_preview_enable on</i></div><div><i>icap_preview_size 1024</i></div><div><i>icap_service service_avi_req reqmod_precache icap://localhost:1344/squidclamav bypass=off</i></div><div><i>adaptation_access service_avi_req allow all</i></div><div><i>icap_service service_avi_resp respmod_precache icap://localhost:1344/squidclamav bypass=on</i></div><div><i>adaptation_access service_avi_resp allow all</i></div><div><i><br></i></div><div><i>umask 022</i></div><div><i><br></i></div><div><i>logfile_rotate 0</i></div><div><i><br></i></div><div><i>strip_query_terms off</i></div><div><i><br></i></div><div><i><br></i></div><div><i>url_rewrite_program /var/smoothwall/mods/ufdbguard/bin/ufdbgclient –l /var/log/squid</i></div><div><i>url_rewrite_children 64 startup=16 idle=4 concurrency=0</i></div><div><i>url_rewrite_extras "%>a/%>A %un %>rm bump_mode=%ssl::bump_mode sni='%ssl::>sni' referer='%{Referer}>h'"</i></div></div></blockquote><br></div><div>Does anyone have any suggestions how I can remove that proxy flag and still keep sslbump working?</div></div>