<div dir="ltr">Thanks a lot guys for providing clear explanation.<div>Much appreciated!</div><div><br></div><div>Cheers,</div><div>Chris</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Feb 2, 2019 at 3:29 PM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2/1/19 4:04 PM, john doe wrote:<br>
<br>
> I'm using Squid 3.5 as a forward proxy and want to limit the SSL ciphers<br>
> allowed.<br>
<br>
> I see that "sslproxy_cipher" config property would allow me to do it.<br>
> But what is unclear to me is whether just setting that list is enough or<br>
> it needs SSL-Bump too?<br>
> Pardon my ignorance around this. I'm not sure if Squid has access to the<br>
> cipher list.<br>
<br>
If you want to restrict ciphers used by clients establishing a TLS<br>
connection with the origin server (via a CONNECT tunnel through Squid)<br>
but you do not want to bump client-origin traffic that uses permitted<br>
ciphers, then you have several options, including:<br>
<br>
* Deny access to clients that offer banned ciphers to servers. Requires<br>
either a silent TCP connection termination or bumping to serve an error<br>
page. Requires TLS Client Hello analysis that is only supported in v4+<br>
(via an external ACL and %>handshake).<br>
<br>
* Deny access to servers that select banned ciphers (from the list of<br>
all ciphers offered by clients). Requires either a silent TCP connection<br>
termination or bumping to serve an error page. Requires TLS Server Hello<br>
analysis that is only supported in v4+ (via an external ACL and<br>
%ssl::<negotiated_cipher).<br>
<br>
For bumped connections, there is also %ssl::>negotiated_cipher.<br>
<br>
Sorry, I ran out of time to polish and detail the above further, but<br>
others on the list can help you if you need more information.<br>
<br>
<br>
Cheers,<br>
<br>
Alex.<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>