<div dir="ltr"><div dir="ltr">Thanks again Alex,<br><br>For anyone else trying to solve this issue, here's a repo I created which sets everything up in Docker to allow ssl_bump and cache_peer to work. <a href="https://github.com/brett--anderson/squid_proxy">https://github.com/brett--anderson/squid_proxy</a></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Sep 21, 2018 at 7:53 AM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 09/20/2018 03:26 PM, Brett Anderson wrote:<br>
> Should I build from the master or a more recent branch?<br>
<br>
IIRC, the unofficial branch you are using is the only branch containing<br>
SslBump with cache_peer" feature today. We are working on submitting<br>
that code for the official review. Please note that any unofficial code<br>
comes with additional risks and is not eligible for the official Squid<br>
Project support.<br>
<br>
Alex.<br>
<br>
<br>
<br>
> On Thu, Sep 20, 2018 at 12:47 PM Alex Rousskov wrote:<br>
> <br>
>     On 09/20/2018 12:36 PM, Brett wrote:<br>
>     > I currently have squid setup to use a self-signed certificate for<br>
>     MITM to<br>
>     > cache HTTPS requests. This works. [...]<br>
> <br>
>     > Is there a way I can configure squid so I can specify<br>
>     > it as a proxy for an https request and then have it act as a cache or<br>
>     > forward to an HTTP proxy (that supports CONNECT)?<br>
> <br>
>     AFAICT, you are asking about the missing "SslBump with cache_peer"<br>
>     feature, which was covered in several recent threads, including this<br>
>     email:<br>
> <br>
>     <a href="http://lists.squid-cache.org/pipermail/squid-users/2018-July/018653.html" rel="noreferrer" target="_blank">http://lists.squid-cache.org/pipermail/squid-users/2018-July/018653.html</a><br>
> <br>
> <br>
>     > ssl_bump peek step1<br>
>     > ssl_bump bump all<br>
> <br>
>     This configuration bumps everything at step2.<br>
> <br>
> <br>
>     > If I change the ssl_bump directives above to the following:<br>
> <br>
>     > ssl_bump stare step2<br>
>     > ssl_bump bump step3<br>
> <br>
>     This (misleading!) configuration should splice everything at step1. In<br>
>     other words, it should be equivalent to this (clear) configuration:<br>
> <br>
>       ssl_bump splice all<br>
> <br>
>     or a disabled SslBump. According to your tests, that is exactly what<br>
>     happens (and the lack of non-trivial SslBump involvement probably<br>
>     explains why peering works in this corner case).<br>
> <br>
> <br>
>     If you need more information about the equivalence of the last two<br>
>     configurations, please consider studying the following wiki page and a<br>
>     related recent email thread:<br>
> <br>
>     * <a href="https://wiki.squid-cache.org/Features/SslPeekAndSplice" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/Features/SslPeekAndSplice</a><br>
>     *<br>
>     <a href="http://lists.squid-cache.org/pipermail/squid-users/2018-September/019162.html" rel="noreferrer" target="_blank">http://lists.squid-cache.org/pipermail/squid-users/2018-September/019162.html</a><br>
> <br>
> <br>
>     HTH,<br>
> <br>
>     Alex.<br>
> <br>
<br>
</blockquote></div>