<div dir="ltr"><div>The answer why you only see it on Chrome is because since<span style="color:rgba(0,0,0,0.870588);font-family:roboto,sans-serif"> Chrome >= 41: </span></div><div><span style="color:rgba(0,0,0,0.870588);font-family:roboto,sans-serif"><br></span></div><div><span style="color:rgba(0,0,0,0.870588);font-family:roboto,sans-serif">"</span><span style="color:rgba(0,0,0,0.870588);font-family:roboto,sans-serif">Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “affirmatively insecure”. Subresources from such domain will be treated as “active mixed content”.</span>"</div><div>Source: <a href="https://security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html">https://security.googleblog.com/2014/09/gradually-sunsetting-sha-1.html</a></div><div><br></div><div>Best regards</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Aug 31, 2016 at 5:24 PM, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 08/31/2016 09:15 AM, Amos Jeffries wrote:<br>
> On 1/09/2016 2:26 a.m., erdosain9 wrote:<br>
>> Hi.<br>
>> Im using ssl-bump.. all ir working fine, but i want to know if it is<br>
>> possible that which is not seen crossed out and red "https".<br>
>> This happen just in Chrome<br>
>> This page is insecure (broken HTTPS)<br>
>> SHA-1 Certificate<br>
>> The certificate for this site expires in 2017 or later, and the certificate<br>
>> chain contains a certificate signed using SHA-1.<br>
<br>
</span>Sounds like you are running an old Squid version.<br>
<span class=""><br>
<br>
> This requires changes to the certificate generator used by SSL-Bump.<br>
> IIRC there were some patches, but I can't find them right now in the<br>
> changesets. If the issue exists in current releases then please ask on<br>
> squid-dev.<br>
<br>
</span>See <a href="http://www.squid-cache.org/Doc/config/sslproxy_cert_sign_hash/" rel="noreferrer" target="_blank">http://www.squid-cache.org/<wbr>Doc/config/sslproxy_cert_sign_<wbr>hash/</a><br>
<span class=""><br>
<br>
> Of course, its possible the site realy does have a SHA1 certificate and<br>
> Squid is just passing on the real details. The mimic feature is designed<br>
> to ensure TLS is actually transparent as best we can manage.<br>
<br>
</span>I have not checked, but I doubt we mimic the signing algorithm (because<br>
it would make client-Squid communication less secure?). If we do, we<br>
should update the wiki page that lists what is being mimicked.<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<div class="HOEnZb"><div class="h5"><br>
______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/<wbr>listinfo/squid-users</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br>--------<br><br>Diogenes S. de Jesus</div></div></div>
</div>