<div dir="ltr">Thank you, very helpful.  Some more clarifying questions for you.<div><br></div><div>Sorry for the imprecise language, I mean not interception but rather accepting connections to that port.  Our browsers will be explicitly configured to connect our proxy, so I believe that is not interception?</div><div><br></div><div>If we want to only allow encrypted traffic between the browser and proxy, does that mean we'd only want to use the following line from your example?</div><br style="font-size:12.8px"><span style="font-size:12.8px"># HTTPS proxy; clients establish TLS connections to 31443 (your item #1)</span><br style="font-size:12.8px"><span style="font-size:12.8px">https_port 31443 ssl-bump ...</span><div><br></div><div>Once a handshake is done and tls connection is established here, would it be possible to have all http and https traffic from the browser go through 31443?  So squid would not need to have ports 80 and 443 open?</div><div><br></div><div>Thank you,</div><div>-Masha</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 31, 2017 at 5:10 PM, Alex Rousskov <span dir="ltr"><<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 05/31/2017 02:42 PM, Masha Lifshin wrote:<br>
<br>
> What I am trying to achieve is<br>
<br>
<br>
</span>> 1. an https connection between the client and squid proxy, as well as<br>
<br>
> 2. listen on port 80 for http traffic,<br>
<br>
> 3. on port 443 for ssl traffic, and<br>
<br>
> 4. apply ssl-bump to the ssl traffic.<br>
<br>
<br>
If I parsed your query correctly, and by "listen" you mean "intercept",<br>
and you want to apply SslBump to proxied SSL traffic on all ports, then<br>
it looks like you will need three ports, each doing ssl-bump. In other<br>
words, instead of<br>
<br>
> http_port 80 ssl-bump cert=some.cert.pem ...<br>
> https_port 443 cert=other.cert.pem ...<br>
<br>
You will need something like this:<br>
<br>
# HTTPS proxy; clients establish TLS connections to 31443 (your item #1)<br>
https_port 31443 ssl-bump ...<br>
<br>
# HTTP-intercepting proxy (your item #2)<br>
http_port 80 intercept ssl-bump ...<br>
<br>
# SSL-intercepting proxy (your item #3)<br>
https_port 443 intercept ssl-bump ...<br>
<br>
You may need "tproxy" instead of "intercept", depending on how you are<br>
intercepting/forwarding traffic.<br>
<br>
The actual port numbers do no matter.<br>
<span class=""><br>
<br>
> Also wondering what, if any, are the security issues with using port 80<br>
> for the http traffic?<br>
<br>
</span>Anybody with access to that traffic will be able to easily see<br>
everything and, with a monumental effort, potentially occasionally<br>
modify unencrypted traffic, including plain CONNECT requests that<br>
establish secure channels.<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<span class=""><br>
<br>
> On Fri, May 26, 2017 at 7:19 AM, Alex Rousskov wrote:<br>
><br>
>     On 05/26/2017 12:00 AM, Masha Lifshin wrote:<br>
>     > I have added an https_port directive<br>
>     > to squid.conf, but it must be misconfigured.<br>
><br>
</span>>     > http_port <a href="http://172.30.0.67:443" rel="noreferrer" target="_blank">172.30.0.67:443</a> <<a href="http://172.30.0.67:443" rel="noreferrer" target="_blank">http://172.30.0.67:443</a>> ...<br>
>     > https_port <a href="http://172.30.0.67:443" rel="noreferrer" target="_blank">172.30.0.67:443</a> <<a href="http://172.30.0.67:443" rel="noreferrer" target="_blank">http://172.30.0.67:443</a>> ...<br>
<div class="HOEnZb"><div class="h5">><br>
>     You are right -- your Squid is misconfigured. You cannot use the same<br>
>     address for two ports. Unfortunately, Squid thinks that port binding<br>
>     errors are a minor inconvenience and continues running after logging an<br>
>     error message (that looks like many other benign error messages).<br>
><br>
>     Changing one of the ports will solve the "same address" problem<br>
>     described above.<br>
><br>
>     Do not use port 443 for http_port. It makes triage extremely confusing<br>
>     because port 443 usually implies SSL. Consider using port 3128 instead.<br>
><br>
><br>
>     HTH,<br>
><br>
>     Alex.<br>
><br>
><br>
><br>
<br>
<br>
</div></div></blockquote></div><br></div>