<div id="__MailbirdStyleContent" style="font-size: 10pt;font-family: Arial;color: #000000">Hi all,<div><br></div><div>I'm new to this mailing list, and I would start off with saying that I really love the Squid product.</div><div>I use it to intercept HTTP and HTTPS traffic in my network, and based on several ACLs forward it to different peer proxies.</div><div>This is where the DNS load balancing trickery becomes a hassle for HTTPS connections;</div><div><br></div><div>What I would like to do is if the request hostname matches an ACL (dstdomain or ssl::server_name), only do a splice for all ssl_bump steps. Otherwise do a peek for step1 and a splice afterwards.</div><div>My thinking is that this would be a nice workaround for the Office365 headache of TTLs of 5 seconds on the outlook.office365.com hostname.</div><div>However, this doesn't seem to work; I can't seem to trigger the "only splice" using any of the ACLs, and I keep getting the "Host header forgery" errors. (which on my Squid 4.11 version don't seem to be server, regardless of what I'm reading in various locations)</div><div>The only way I'm able to work around this for now is to create an ACL for all the possible IP's, and only splice for these (Blegh).</div><div><br></div><div>Is there any way to achieve what I would like to have? (without having to build a version of squid with the host forgery detection turned off...? :))</div><div><br></div><div>The relevant portion of my configuration is as follows.</div><div><br></div><div><span style="font-family: Courier New">-snip-</span></div><div><span style="font-family: Courier New"><br></span></div><div><span style="font-size: 10pt"><span style="font-family: Courier New">acl local dst 192.168.0.0/16<br></span></span><div><span style="font-family: Courier New"><br></span></div><div><span style="font-family: Courier New">acl microsoft dstdomain .microsoft.com</span></div><div><span style="font-family: Courier New">acl microsoft dstdomain .teams.microsoft.com</span></div><div><span style="font-family: Courier New">acl microsoft dstdomain .office365.com</span></div><div><span style="font-family: Courier New">acl microsoft dstdomain .office.com</span></div><div><span style="font-family: Courier New">acl microsoft dstdomain .office.net</span></div><div><span style="font-family: Courier New">acl microsoft dstdomain .outlook.com</span></div></div><div><span style="font-family: Courier New"><br></span></div><div><div><span style="font-family: Courier New">http_port 3128</span></div><div><span style="font-family: Courier New">http_port 3129 intercept</span></div><div><span style="font-family: Courier New">https_port 3130 intercept ssl-bump cert=/etc/certificates/SquidCA.pem key=/etc/certificates/SquidCA.pem</span></div></div><div><span style="font-family: Courier New"><br></span></div><div><div style="font-size: 13.3333px"><span style="font-family: Courier New">sslcrtd_program /usr/lib/squid/security_file_certgen -s /var/lib/ssl_db -M 16MB</span></div><div style="font-size: 13.3333px"><span style="font-family: Courier New">sslcrtd_children 8 startup=1 idle=1</span></div></div><div><span style="font-family: Courier New"><br></span></div><div><div><span style="font-family: Courier New">acl step1 at_step SslBump1</span></div><div><span style="font-family: Courier New">acl step2 at_step SslBump2</span></div><div><span style="font-family: Courier New">acl step3 at_step SslBump3</span></div><div><span style="font-family: Courier New"><br></span></div><div><span style="font-family: Courier New">ssl_bump peek   step1 !microsoft !local</span></div><div><span style="font-family: Courier New">ssl_bump splice step2 !microsoft !local</span></div><div><span style="font-family: Courier New">ssl_bump splice step3 !microsoft !local</span></div></div><div><span style="font-family: Courier New"><br></span></div><div><span style="font-family: Courier New">-snip-</span></div><div><br></div><div>Thanks!</div><div><br></div><div><br></div><div>Best Regards,</div><div><br></div><div><br></div><div>J. Dierkse</div></div>