<div dir="ltr">Hi Amos,<div>Thanks for your explanation.</div><div>Could you instruct me how to install squid v5 based on CentOS 7?</div><div>Based on url <a href="https://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2FCentOS.Stable_Repository_Package_.28like_epel-release.29">https://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2FCentOS.Stable_Repository_Package_.28like_epel-release.29</a>, CentOS seems not support squid v5.</div><div><br></div><div>BR,</div><div>Michael</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> 於 2020年3月20日 週五 下午5:29寫道:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 20/03/20 8:27 pm, Michael Chen wrote:<br>
> Hi Amos,<br>
> May I know which function Squid v3.5.28 cannot do for my scenario?<br>
> Because Squid v3.5 still has command of cache_peer and ssl .....<br>
> <br>
<br>
TLS is a volatile environment, with many changes going on constantly.<br>
Squid-3 has been deprecated since 2018 and is far behind in support<br>
needed for current TLS practices.<br>
<br>
Especially when bumping you should always have the latest Squid version.<br>
<br>
<br>
This first bit can be tested with Squid-3. It is just about getting a<br>
secure connection to the peer, any Squid should be able to do that.<br>
<br>
Ensure that the peer proxy is delivering its CA *chain* properly.<br>
 * All the intermediates should be supplied during the server handshake.<br>
 * cache_peer should only need the root CA for that chain. Configured in<br>
the sslca= or tls-ca= option.<br>
<br>
At this point your Squid should be able to pass traffic to the peer.<br>
Test that with regular http:// URL requests to your Squid. *Not* HTTPS<br>
or bumped traffic.<br>
<br>
<br>
You can test this following with Squid-3, but do not expect it to work<br>
very well. Squid-4 is better in a lot of cases, but still not completely.<br>
<br>
Your ssl_bump rules should peek at the client cert, then stare at the<br>
server cert, then bump the crypto. Like so:<br>
<br>
 ssl_bump peek  step1<br>
 ssl_bump stare all<br>
 ssl_bump bump  all<br>
<br>
<br>
Amos<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>