<br><br>On Friday, February 10, 2017, Varun Singh <<a href="mailto:varun.singh@gslab.com">varun.singh@gslab.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Feb 7, 2017 at 3:48 AM, Amos Jeffries <<a href="javascript:;" onclick="_e(event, 'cvml', 'squid3@treenet.co.nz')">squid3@treenet.co.nz</a>> wrote:<br>
> On 7/02/2017 2:46 a.m., Varun Singh wrote:<br>
>> On Mon, Feb 6, 2017 at 11:39 AM, Amos Jeffries wrote:<br>
>><br>
>> Hi,<br>
>> Please find my reply inline:<br>
>><br>
>>> What documentation? it is wrong, or you are misunderstanding it. The URL<br>
>>> path?query is definitely *not* available without decrypting.<br>
>>><br>
>><br>
>> Correct, I mis-read it.<br>
>><br>
>><br>
>>> Because the only way to access more than hostname/IP and port is to decrypt.<br>
>><br>
>> Okay. In that, case I am okay with only being able to see hostname/IP and port.<br>
>> But whenever I search for setting up HTTPS with Squid, I always come<br>
>> across SSL-bump.<br>
>> Could you point me to a tutorial which perform just basic HTTPS setup?<br>
><br>
> The Squid default config handles as much of HTTPS as can be handled<br>
> without the SSL-Bump feature.<br>
><br>
>><br>
>> What I have tried so far is, configuring Squid to listen to port 3129<br>
>> to expect HTTPS traffic. I did this by adding following line to<br>
>> squid.conf:<br>
>><br>
>> https_port 3129<br>
>><br>
>> Once this was done, I redirected all the traffic coming to port 443 to<br>
>> port 3129 using iptables. This is because my clients connect to proxy<br>
>> via VPN.<br>
><br>
> Since you are intercepting port 443 that port is missing the 'intercept'<br>
> flag. Also, interceptig port 443 requires SSL-Bump.<br>
><br>
><br>
>> But this had no effect. After connecting clients to proxy, when I try<br>
>> to access an HTTPS website, the clients get no response and nothing<br>
>> shows in access.log file. The browser behaves as if it could not<br>
>> connect to internet.<br>
>><br>
>> Please note that this setup works perfectly for HTTP requests. Only<br>
>> HTTPS requests give problems.<br>
>><br>
><br>
> Port 80 (HTTP) and port 443 (HTTPS) have totally different transport<br>
> protocols. The port 443 one is designed to break when being intercepted.<br>
><br>
><br>
>><br>
>> FYI, by documentation I was referring to below link:<br>
>> <a href="http://wiki.squid-cache.org/Features/HTTPS" target="_blank">http://wiki.squid-cache.org/<wbr>Features/HTTPS</a><br>
>><br>
><br>
><br>
> Amos<br>
<br>
Thanks Amos. Sorry I couldn't reply early.<br>
<br>
So in this case, say I want to configure HTTPS proxy from a<br>
web-browser directly and not through VPN. In that case there will be<br>
no port forwarding involved and hence 443 shouldn't break. To achieve<br>
this, what configurations will have to be set in squid.conf file? I am<br>
assuming we will have to at least provide a port number by adding<br>
'https_port 3129'. Is there anything else I will have to do?<br>
<br>
Thanks for your help.<br>
<br>
<br>
<br>
--<br>
Regards,<br>
Varun<br>
</blockquote><div><br></div><div>I found this post on a StackExchange forum which is exactly what I want:</div><div><br></div><div><a href="http://serverfault.com/questions/798481/squid-configuration-for-https">http://serverfault.com/questions/798481/squid-configuration-for-https</a><br></div><div><br></div><div>The answer points to installing a CA on client. </div><div>Does this mean even if I don't want Squid-in-the-middle approach, my clients would still have to install a certificate?</div><br><br>-- <br><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><span style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px">Regards,</span><br style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px"><span style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px">Varun Singh</span><br style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px"><span style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px">Sr. Software Engineer | m: +91 20 4671 2290 | </span><a href="https://in.linkedin.com/in/varun-singh-12b29026" style="color:rgb(43,170,223);font-family:Helvetica;font-size:14px" target="_blank"><img align="none" height="15" src="https://gallery.mailchimp.com/1a9fbb5d6abc2f2947e56eb5d/images/f047b2ca-8206-43d4-b4a6-7b095b6210e9.jpg" width="15" style="width:15px;height:15px;margin:0px;border:0px;outline:none;text-decoration:none" alt=""><br>G</a><a href="http://www.gslab.com/" style="color:rgb(43,170,223);font-family:Helvetica;font-size:14px" target="_blank">reat Software Laboratory</a><br style="color:rgb(0,0,0);font-family:Helvetica;font-size:14px"><span style="font-family:Helvetica;font-size:14px;color:rgb(211,211,211)">------------------------------------------------------------------------------<br><a href="https://twitter.com/_gslab" style="color:rgb(43,170,223)" target="_blank"><img align="none" height="13" src="https://gallery.mailchimp.com/1a9fbb5d6abc2f2947e56eb5d/images/d5a40031-1c45-4586-8100-03423e9b8fa4.jpg" width="14" style="width:14px;height:13px;margin:0px;border:0px;outline:none;text-decoration:none"></a>  <a href="https://www.facebook.com/LifeAtGSLab/" style="color:rgb(43,170,223)" target="_blank"><img align="none" height="15" src="https://gallery.mailchimp.com/1a9fbb5d6abc2f2947e56eb5d/images/4c300b7e-cc74-4e9a-993e-387bd5c1aa2e.jpg" width="15" style="width:15px;height:15px;margin:0px;border:0px;outline:none;text-decoration:none"></a>  <a href="https://www.linkedin.com/company/gs-lab" style="color:rgb(43,170,223)" target="_blank"><img align="none" height="15" src="https://gallery.mailchimp.com/1a9fbb5d6abc2f2947e56eb5d/images/ec63a100-f2cf-4609-a453-c1fef61302d0.jpg" width="15" style="width:15px;height:15px;margin:0px;border:0px;outline:none;text-decoration:none"></a>  <a href="http://www.gslab.com/blogs" style="color:rgb(43,170,223)" target="_blank"><img align="none" height="15" src="https://gallery.mailchimp.com/1a9fbb5d6abc2f2947e56eb5d/images/bfee8a1f-4135-4fa0-90d8-6831ba9d93f9.jpg" width="15" style="width:15px;height:15px;margin:0px;border:0px;outline:none;text-decoration:none"></a></span><br></div></div></div></div><br>