<div dir="ltr">So we can't even use the free certs from letsencrypt with Squid??</div><div class="gmail_extra"><br><div class="gmail_quote">On 2 February 2017 at 11:35, FredB <span dir="ltr"><<a href="mailto:fredbmail@free.fr" target="_blank">fredbmail@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
From: <a href="http://wiki.squid-cache.org/Features/DynamicSslCert" rel="noreferrer" target="_blank">http://wiki.squid-cache.org/<wbr>Features/DynamicSslCert</a><br>
<br>
"In theory, you must either import your root certificate into browsers or instruct users on how to do that. Unfortunately, it is apparently a common practice among well-known Root CAs to issue subordinate root certificates. If you have obtained such a subordinate root certificate from a Root CA already trusted by your users, you do not need to import your certificate into browsers. However, going down this path may result in removal of the well-known Root CA certificate from browsers around the world. Such a removal will make your local SslBump-based infrastructure inoperable until you import your certificate, but that may only be the beginning of your troubles. Will the affected Root CA go after you to recoup their world-wide damages? What will your users do when they learn that you have been decrypting their traffic without their consent?"<br>
<br>
The last sentence is ambiguous the users can known, you can inform that you have been decrypting their traffic.<br>
There is no difference (from user point of view I mean) between a well-known Root CAs or a self-signed certificate with a CA injected by a local GPO.<br>
<br>
But in practice I don't how how you can do that, just hello I want a subordinate root certificates ?<br>
<span class="HOEnZb"><font color="#888888"><br>
FredB<br>
</font></span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.<wbr>org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/<wbr>listinfo/squid-users</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">"</span></div></div></div>
</div>