<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Thanks that would be fine.<div>However meanwhile I have recompiled squid 4.4 with OpenSSL support (added <font face="monospace, monospace">--enable-ssl </font>and <font face="monospace, monospace">--with-open-ssl=xxx</font>  and removed <font face="monospace, monospace">--with-gnutls</font> to debian/rules) just to end with the same problems - I cannot seem to find how to disable certain protocols or ciphers with squid 4.4.</div><div>With squid 3.3 / 3.5 it worked without problems with "https_port ... cipher=ALL:!xxx options=NO_TLSv1,....". However despite of the <a href="http://www.squid-cache.org/Doc/config/http_port/">docs</a> saying these options should still work Squid4.4 just exits with Error:</div><div><p style="margin:0px;font-stretch:normal;font-size:11px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)"><span style="font-variant-ligatures:no-common-ligatures">FATAL: Unknown https_port option 'cipher=</span></p></div><div><span style="color:rgb(0,0,0);font-family:Menlo;font-size:11px">FATAL: Unknown https_port option 'options=</span></div><div><br></div><div>This seems to be the case regardless if I compile it with OpenSSL support or GnuTLS Support or both. Btw. How does Squid "know" which library to chose if it's compiled with both libraries?</div><div><br></div><div>So what exactly am I missing here? Is the docs simply wrong? Or outdated? </div><div>Which exact keyword should set the OpenSSL ciphers? Which one should set the GnuTLS priority strings? Is it the same keyword with different values??</div><div><br></div><div>I have then experimented with e.g. <b>tls-options=NO_TLSv1</b> setting in Squid4.4 with OpenSSL but without any luck:</div><div><p style="margin:0px;font-stretch:normal;font-size:11px;line-height:normal;font-family:Menlo;color:rgb(0,0,0)"><span style="font-variant-ligatures:no-common-ligatures">FATAL: Unknown TLS option 'NO_TLSv1'</span></p></div><div><br></div><div>So please could anyone provide a proved working example for disabling TLS v1 or any Cipher in Squid 4.4? Either OpenSSL or GnuTLS would suffice to bring me back on the right track.</div><div><br></div><div>Thanks in advance,</div><div><br></div><div>Martin</div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr">Am Di., 18. Dez. 2018 um 07:46 Uhr schrieb Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">On 18/12/18 3:57 am, Martin Hoffmann wrote:<br>
> Sorry for my late response, but I have been very busy the last weeks. <br>
> So I could finally find the time to patch my Squid 4.4 with your Patch<br>
> <a href="https://github.com/squid-cache/squid/pull/330" rel="noreferrer" target="_blank">https://github.com/squid-cache/squid/pull/330</a><br>
> <br>
<br>
No worries, similar situation here.<br>
<br>
> However running patched squid with the following config still does<br>
> ignore all TLS specific settings (tls-options and tls-min-version):<br>
> <br>
> https_port <a href="http://1.2.3.4:443" rel="noreferrer" target="_blank">1.2.3.4:443</a> <<a href="http://1.2.3.4:443" rel="noreferrer" target="_blank">http://1.2.3.4:443</a>> tls-cert=/path/cert.crt<br>
> tls-key=/path/cert.key tls-dh=/path/dhparams.pem tls-min-version=1.2<br>
> accel defaultsite=<a href="http://some.domain.de" rel="noreferrer" target="_blank">some.domain.de</a> <<a href="http://some.domain.de" rel="noreferrer" target="_blank">http://some.domain.de</a>><br>
> <br>
> <br>
> All attempts to disable certain ciphers or TLS version via<br>
> 'tls-options=SECURE128:+SECURE192:-VERS-ALL:+VERS-TLS1.2' also fails -<br>
> no change at all. It is as if squid totally ignores all GnuTLS specific<br>
> settings...? Is there still another bug regarding config?<br>
> <br>
<br>
Just the unhelpful "Hmm, thats odd". I intend to re-test all this in the<br>
next month or so to be able to give a better indication of what to<br>
expect working and see if any other regressions show up.<br>
<br>
Sorry,<br>
Amos<br>
</blockquote></div>