<div dir="ltr">I added the following:<div><br></div><div>sslproxy_cert_error allow all<br>sslproxy_flags DONT_VERIFY_PEER<br></div><div><br></div><div>and it works now.</div><div><br></div><div>In my access.log:</div><div><br></div><div>172.16.84.241 - - [21/Nov/2019:15:15:05 -0500] "CONNECT <a href="http://static.xx.fbcdn.net:443">static.xx.fbcdn.net:443</a>" 200 4199 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"<br>172.16.84.241 - - [21/Nov/2019:15:15:05 -0500] "CONNECT <a href="http://fbcdn.net:443">fbcdn.net:443</a>" 200 5431 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"<br>172.16.84.241 - - [21/Nov/2019:15:15:05 -0500] "CONNECT <a href="http://fbsbx.com:443">fbsbx.com:443</a>" 200 5439 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"<br>172.16.84.241 - - [21/Nov/2019:15:15:05 -0500] "CONNECT <a href="http://connect.facebook.net:443">connect.facebook.net:443</a>" 200 6085 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"<br>172.16.84.241 - - [21/Nov/2019:15:15:05 -0500] "CONNECT <a href="http://www.cnn.com:443">www.cnn.com:443</a>" 200 155123 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"<br></div><div><br></div><div><br></div><div>So since I am new to sslbump, what am I benefiting from this? Will I be able to see unencrypted data?</div><div><br></div><div>Thanks</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 21, 2019 at 1:18 PM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 11/21/19 9:25 AM, Monah Baki wrote:<br>
<br>
> The certs/keys are legit from my company.<br>
<br>
Is your signing certificate (i.e. wildcardcert.pem) a CA certificate? If<br>
not, then you cannot use it to sign other certificates. SslBump with<br>
dynamic certificate generation requires a CA certificate to sign the<br>
generated certificates.<br>
<br>
CA certificates have a "true" CA basic constraint:<br>
<br>
    $ openssl x509 -in wildcardcert.pem -noout -text | \<br>
      grep -A1 'Basic Constraints'<br>
                X509v3 Basic Constraints:<br>
                   CA:TRUE<br>
<br>
<br>
If they are CA certificates, did you import them into the browser/OS<br>
trusted certificates store? In most environments, a browser will not. by<br>
default, trust a CA certificate that Squid can use to sign dynamically<br>
generated certificates.<br>
<br>
Alex.<br>
<br>
<br>
> My squid.conf is very simple since it's for proof of concept<br>
> <br>
> acl localnet src <a href="http://10.0.0.0/8" rel="noreferrer" target="_blank">10.0.0.0/8</a> <<a href="http://10.0.0.0/8" rel="noreferrer" target="_blank">http://10.0.0.0/8</a>>     # RFC1918 possible<br>
> internal network<br>
> acl localnet src <a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">172.16.0.0/12</a> <<a href="http://172.16.0.0/12" rel="noreferrer" target="_blank">http://172.16.0.0/12</a>>  # RFC1918<br>
> possible internal network<br>
> acl localnet src <a href="http://192.168.0.0/16" rel="noreferrer" target="_blank">192.168.0.0/16</a> <<a href="http://192.168.0.0/16" rel="noreferrer" target="_blank">http://192.168.0.0/16</a>> # RFC1918<br>
> possible internal network<br>
> acl SSL_ports port 443<br>
> acl Safe_ports port 80          # http<br>
> acl Safe_ports port 21          # ftp<br>
> acl Safe_ports port 443         # https<br>
> acl Safe_ports port 70          # gopher<br>
> acl Safe_ports port 210         # wais<br>
> acl Safe_ports port 1025-65535  # unregistered ports<br>
> acl Safe_ports port 280         # http-mgmt<br>
> acl Safe_ports port 488         # gss-http<br>
> acl Safe_ports port 591         # filemaker<br>
> acl Safe_ports port 777         # multiling http<br>
> acl CONNECT method CONNECT<br>
> http_access deny !Safe_ports<br>
> http_access deny CONNECT !SSL_ports<br>
> http_access allow localhost manager<br>
> http_access deny manager<br>
> http_access allow localnet<br>
> http_access allow localhost<br>
> http_access deny all<br>
> <br>
> # Squid normally listens to port 3128<br>
> http_port <a href="http://172.16.84.242:3128" rel="noreferrer" target="_blank">172.16.84.242:3128</a> <<a href="http://172.16.84.242:3128" rel="noreferrer" target="_blank">http://172.16.84.242:3128</a>> ssl-bump \<br>
>   cert=/etc/squid/certs/wildcardcert.pem \<br>
>   key=/etc/squid/certs/wildcardkey.pem \<br>
>   generate-host-certificates=on dynamic_cert_mem_cache_size=16MB<br>
> acl step1 at_step SSlBump1<br>
> ssl_bump peek step1<br>
> ssl_bump bump all<br>
> sslcrtd_program /usr/local/squid/libexec/ssl_crtd -s /var/lib/ssl_db -M 16MB<br>
> sslcrtd_children 32 startup=5 idle=1<br>
> <br>
> cache_dir ufs /var/spool/squid 100 16 256<br>
> coredump_dir /var/spool/squid<br>
> refresh_pattern ^ftp:           1440    20%     10080<br>
> refresh_pattern ^gopher:        1440    0%      1440<br>
> refresh_pattern -i (/cgi-bin/|\?) 0     0%      0<br>
> refresh_pattern .               0       20%     4320<br>
> <br>
> strip_query_terms off<br>
> # logformat squid %>a - %un [%{%d/%b/%Y:%H:%M:%S %z}tl] "%rm %ru" %Hs<br>
> %st "%{Referer}>h" "%{User-agent}>h"<br>
> logformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A<br>
> %mt [%>h] [%<h]<br>
> access_log  /var/log/squid/access.log squid<br>
> <br>
> <br>
> Browsing http sites works fine, but I am having issues with https<br>
> <br>
> In my access.log I get:<br>
> 1574346211.538     30 172.16.84.241 TAG_NONE/200 0 CONNECT<br>
> <a href="http://www.cnn.com:443" rel="noreferrer" target="_blank">www.cnn.com:443</a> <<a href="http://www.cnn.com:443" rel="noreferrer" target="_blank">http://www.cnn.com:443</a>> - HIER_DIRECT/<a href="http://www.cnn.com" rel="noreferrer" target="_blank">www.cnn.com</a><br>
> <<a href="http://www.cnn.com" rel="noreferrer" target="_blank">http://www.cnn.com</a>> - [User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64;<br>
> Trident/7.0; rv:11.0) like Gecko\r\nContent-Length: 0\r\nDNT:<br>
> 1\r\nProxy-Connection: Keep-Alive\r\nPragma: no-cache\r\nHost:<br>
> <a href="http://www.cnn.com:443" rel="noreferrer" target="_blank">www.cnn.com:443</a> <<a href="http://www.cnn.com:443" rel="noreferrer" target="_blank">http://www.cnn.com:443</a>>\r\n] [-]<br>
> <br>
> <br>
> In Internet explorer I get the following:<br>
> <br>
> Certificate Error: Navigation Blocked<br>
> <br>
> <br>
>   There is a problem with this website’s security certificate.<br>
> <br>
> <br>
>  <br>
>       <br>
> <br>
> <br>
>       The security certificate presented by this website is not secure.<br>
> <br>
>       Security certificate problems may indicate an attempt to fool you<br>
>       or intercept any data you send to the server.   <br>
> <br>
>       <br>
> <br>
> <br>
>     *We recommend that you close this webpage and do not continue to<br>
>     this website.*<br>
> <br>
> <br>
>     *<br>
>     *<br>
> <br>
> <br>
>     * *<br>
> <br>
> <br>
> _______________________________________________<br>
> squid-users mailing list<br>
> <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
> <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
> <br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>