<div dir="ltr"><div>Hello,</div><div><br></div><div>Thank you for your answer. And sorry for my late reply .. .busy on multiple stuff... you know what it is ;)</div><div><br></div><div>I'm totally agree that using https is the best way to secure the authentication. <br></div><div><br></div><div>But, in case, ssl-bump is mandatory what you be the best (or the less worst) options to secure authentification (or at least the most possibile secured authent) ?</div><div><br></div><div>Thank you in advance.<br></div><div><br></div><div>Regards,<br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 27 mai 2020 à 02:08, Ronan Lucio <<a href="mailto:ronanlucio@gmail.com">ronanlucio@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Ben,<br>
<br>
I made working just using https_port (without ssl-bump).<br>
<br>
I think it's a good way to secure squid authentication.<br>
You can also use some tool (like certbot) to generate and<br>
automatically renew certificates, so you can work with a short period<br>
expiration time.<br>
<br>
Hope that helps,<br>
Ronan<br>
<br>
On Tue, May 26, 2020 at 12:10 AM ben benml <<a href="mailto:ben.maling42@gmail.com" target="_blank">ben.maling42@gmail.com</a>> wrote:<br>
><br>
> Hello,<br>
><br>
> Thank you for your prompt and precise answer.<br>
><br>
> Well I'm permit myself another question, sorry. If you have an opinion about securing the authentification without https_port :<br>
> With a FreeIPA central users directory, what could be the best way to secure/protect the  authentication process, the login/password.<br>
> Or more generally what could be the best options to secure the login/password with only the http_port. So no directly encrypted traffic.<br>
><br>
> I was assuming https connection could secure the authentication process .. but if ssl-dump  is really wanted, so I need another options to secure the login/password.<br>
><br>
> Did you see my point / what I'm trying to talk about ?<br>
><br>
> Thank you in advance.<br>
><br>
> Regards,<br>
><br>
><br>
> Le lun. 25 mai 2020 à 12:26, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>> a écrit :<br>
>><br>
>> On 25/05/20 9:59 pm, ben benml wrote:<br>
>> > Hello,<br>
>> ><br>
>> > I'm contacting you for some help.<br>
>> > I need to deploy a secure proxy based on Squid.<br>
>> ><br>
>> > I try to use https_port combined with sslbump. I get an error message<br>
>> > about a bungled line.<br>
>> ><br>
>> > The reasons I want to do this :<br>
>> > - secure connection between the client browser and the proxy server, so<br>
>> > using https_port to do it. encrypted  traffic in TLS between the client<br>
>> > and the server.<br>
>><br>
>> Fine. Simply using https_port does that.<br>
>><br>
>> > - secure login connection. So I need to use https_port to do this.<br>
>><br>
>> Fine. Simply using https_port does that.<br>
>><br>
>> > - Do ssl inspection of the traffic goeing through the proxy<br>
>><br>
>> Squid does not yet support SSL-Bump decrypt of traffic already being<br>
>> decrypted for the secure proxy.<br>
>><br>
>><br>
>> Please see<br>
>> <<a href="http://lists.squid-cache.org/pipermail/squid-users/2020-May/022120.html" rel="noreferrer" target="_blank">http://lists.squid-cache.org/pipermail/squid-users/2020-May/022120.html</a>> if<br>
>> you want details.<br>
>><br>
>> Amos<br>
>> _______________________________________________<br>
>> squid-users mailing list<br>
>> <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
>> <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
><br>
> _______________________________________________<br>
> squid-users mailing list<br>
> <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
> <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>