
<div dir="ltr">Hi Amos,<div>Thanks for your explanation.</div><div>Could you instruct me how to install squid v5 based on CentOS 7?</div><div>Based on url <a href="https://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2FCentOS.Stable_Repository_Package_.28like_epel-release.29">https://wiki.squid-cache.org/SquidFaq/BinaryPackages#KnowledgeBase.2FCentOS.Stable_Repository_Package_.28like_epel-release.29</a>, CentOS seems not support squid v5.</div><div><br></div><div>BR,</div><div>Michael</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> 於 2020年3月20日 週五 下午5:29寫道：<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 20/03/20 8:27 pm, Michael Chen wrote:<br>

> Hi Amos,<br>

> May I know which function Squid v3.5.28 cannot do for my scenario?<br>

> Because Squid v3.5 still has command of cache_peer and ssl .....<br>

> <br>

<br>

TLS is a volatile environment, with many changes going on constantly.<br>

Squid-3 has been deprecated since 2018 and is far behind in support<br>

needed for current TLS practices.<br>

<br>

Especially when bumping you should always have the latest Squid version.<br>

<br>

<br>

This first bit can be tested with Squid-3. It is just about getting a<br>

secure connection to the peer, any Squid should be able to do that.<br>

<br>

Ensure that the peer proxy is delivering its CA *chain* properly.<br>

 * All the intermediates should be supplied during the server handshake.<br>

 * cache_peer should only need the root CA for that chain. Configured in<br>

the sslca= or tls-ca= option.<br>

<br>

At this point your Squid should be able to pass traffic to the peer.<br>

Test that with regular http:// URL requests to your Squid. *Not* HTTPS<br>

or bumped traffic.<br>

<br>

<br>

You can test this following with Squid-3, but do not expect it to work<br>

very well. Squid-4 is better in a lot of cases, but still not completely.<br>

<br>

Your ssl_bump rules should peek at the client cert, then stare at the<br>

server cert, then bump the crypto. Like so:<br>

<br>

 ssl_bump peek  step1<br>

 ssl_bump stare all<br>

 ssl_bump bump  all<br>

<br>

<br>

Amos<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div>