<div dir="ltr"><div>Greetings</div><div><br></div><div>We're using Squid 3.5.19 with ssl bump,<br>and we want to tunnel (not bump) applications such as skype, that use pinned ssl,<br>so we defined an acl for splicing skype's ssl_server_name.</div><div><br></div><div>However skype's client app uses client certificates that don't have SNI.<br>The only way to identify skype is its Common Name: *.<a href="http://dc.trouter.io/" target="_blank">dc.trouter.io</a></div><div><br></div><div>But the Common Name is available only in step3 of ssl bump,<br>where tunneling the connection is no longer possible (as documented in peek and splice step3 docs).</div><div>What we get is bumping.</div><div><br></div><div>Is there a way we can tunnel an acl based on Common Name?</div><div><br></div><div>ty</div><div><br></div><div><br>http_port 3127<br>http_port 3128 intercept<br>https_port 3129 ssl-bump intercept generate-host-certificates=on dynamic_cert_mem_cache_size=4M<wbr>B cert=/etc/squid/ssl_cert/myCA.<wbr>pem<br>always_direct allow all<br>acl DiscoverSNIHost at_step SslBump1<br>acl NoSSLIntercept ssl::server_name_regex -i (microsoft|msn|windows|update|<a href="http://skype.com/" target="_blank"><wbr>skype.com</a>|<a href="http://go.trouter.io/" target="_blank">go.trouter.io</a>|<a href="http://secure.adnxs.compipe.skype.com/" target="_blank">secure<wbr>.adnxs.compipe.skype.com</a>|<a href="http://skype-m.hotmail.com/" target="_blank">skype<wbr>-m.hotmail.com</a>|<a href="http://mobile.pipe.aria.microsoft.com/" target="_blank">mobile.pipe.ari<wbr>a.microsoft.com</a>|<a href="http://edge.skype.com/" target="_blank">edge.skype.com</a><wbr>|<a href="http://api.cc.skype.com/" target="_blank">api.cc.skype.com</a>|<a href="http://a.config.skype.com/" target="_blank">a.config.sky<wbr>pe.com</a>|<a href="http://clientlogin.cdn.skype.com/" target="_blank">clientlogin.cdn.skype.c<wbr>om</a>|.<a href="http://dc.trouter.io/" target="_blank">dc.trouter.io</a>|<a href="http://ui.skype.com/" target="_blank">ui.skype.com</a><wbr>|<a href="http://apps.skype.com/" target="_blank">apps.skype.com</a>|<a href="http://registrar-rr.prod.registrar.skype.com/" target="_blank">registrar-rr.<wbr>prod.registrar.skype.com</a>|<a href="http://secure.skypeassets.com/" target="_blank">secur<wbr>e.skypeassets.com</a>|<a href="http://c1.skype.com/" target="_blank">c1.skype.com</a><wbr>)<br>ssl_bump splice NoSSLIntercept<br>ssl_bump peek DiscoverSNIHost<br>ssl_bump bump all</div><div><br></div><div>sslproxy_cert_error allow all<br>sslproxy_flags DONT_VERIFY_PEER<br>sslcrtd_program /usr/lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB<br>sslcrtd_children 5</div><div><br></div></div>