<div dir="ltr">If you need to encrypt the traffic between the browser and the proxy perhaps you can use a VPN or a browser extension for this, that way your traffic is encrypted on its way to the proxy.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 5, 2020 at 5:29 PM Ryan Le <<a href="mailto:ryanlele264@gmail.com">ryanlele264@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div id="gmail-m_-4377257592927749413gmail-c94320" style="color:rgb(0,0,0);font-family:proxima-nova,"Helvetica Neue",HelveticaNeue,Helvetica,Arial,sans-serif;font-size:15px;white-space:pre-line"><div style="padding:15px 0px 3px 51px;margin:0px 25px;border-top:1px solid rgba(233,233,233,0.6);min-height:36px"><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px">Hi All,</div><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px">Thanks for providing the information.</div><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px">

The issue is not related to the server certificate SNI. It's related to exposing a few other sensitive data points such as the domain which is clearly exposed in the CONNECT header. This would be exposed regardless of TLS 1.3. Also, there are other headers that are sensitive and outside the encrypted payload including User-Agent and Proxy-Authorization. The Proxy-Authorization is of concern here. Most modern browsers now support PAC with HTTPS versus PROXY.</div><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px"><br></div><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px">The Proxy-Authorization can carry the Basic Auth (and NTLM) credentials which is of concern currently since all users are mobile.<br></div><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px"><br></div><div name="text" style="white-space:pre-wrap;color:rgb(47,47,47);margin:0px">Being proactive before this become a problem at causes unnecessary exposure.

Zoom had a lot of issues and wouldn't want this to affect squid or squid users.

</div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 5, 2020 at 11:33 AM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 5/5/20 10:18 AM, Ryan Le wrote:<br>

> Is there plans to support explicit forward proxy over HTTPS to the proxy<br>

> with ssl-bump?<br>

<br>

There have been a few requests for TLS-inside-TLS support, but I am not<br>

aware of any actual sponsors or features on the road map. It is a<br>

complicated project, even though each of its two components already<br>

works today.<br>

<br>

<br>

> We would like to use https_port ssl-bump without using the<br>

> intercept or tproxy option. Clients will use PAC with a HTTPS directive<br>

> rather than a PROXY directive. The goal is to also encrypted the CONNECT<br>

> header which exposes the domain in plain text while it traverses to the<br>

> proxy.<br>

<br>

Yes, it is a valid use case (that few people understand).<br>

<br>

<br>

> Felipe: you don't need to use ssl-bump with explicit https proxy.<br>

<br>

Popular browsers barely support HTTPS proxies and refuse to delegate TLS<br>

handling to them. Thus, a connection to a secure origin server will be<br>

encrypted by the browser and sent over an encrypted channel through the<br>

HTTPS proxy -- TLS-inside-TLS. If you want to look inside that browser<br>

connection, you have to remove both TLS layers. To remove the outer<br>

layer, you need an https_port in a forward proxy configuration. To<br>

remove the inner layer, you need SslBump. The combination is not yet<br>

supported.<br>

<br>

<br>

> Matus: people will still be able to see SNI SSL header.<br>

<br>

... but not the origin server SNI. Only the proxy SNI is exposed in this<br>

use case, and that exposure is usually not a problem.<br>

<br>

<br>

Cheers,<br>

<br>

Alex.<br>

</blockquote></div>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div>