<div dir="auto"><div>Upgrading to 1.1 on a running os is a challenge for any sysadmin.</div><div dir="auto"><br></div><div dir="auto">Eliezer<br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Mon, Jun 29, 2020, 13:30  <<a href="mailto:mikio.kishi@gmail.com">mikio.kishi@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Hi Amos,</div><div><br></div><div>>Ah. This is a feature of OpenSSL v1.1. Apparently your OpenSSL v1.0 has<br></div>>had the feature *partially* backported to it.<br>>I suggest you upgrade to Squid-4 and build against OpenSSL v1.1 where<br>>this "feature" is the default behaviour.   <br><div><br></div><div>Yes, Exactly.  However, currently I am using CentOS7 which openssl package version is still 1.0.....</div><div>Upgrading  openssl to v1.1.1 is challenging for me. Could you please implement the rusted first option to squid-4 ? ...</div><div><br></div><div>Regards,</div><div>--</div><div>Mikio Kishi</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jun 29, 2020 at 7:05 PM Amos Jeffries <<a href="mailto:squid3@treenet.co.nz" target="_blank" rel="noreferrer">squid3@treenet.co.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 29/06/20 7:29 pm, mikio.kishi wrote:<br>
> Hi Amos,<br>
> <br>
> Thank you for your reply and I apologize for the missing information.<br>
> The following is the detailed one.<br>
> <br>
>> * Squid version<br>
> * squid version 3.5.26 (probably, ver4.X also might have same issue)<br>
> * OpenSSL 1.0.2k<br>
> <br>
>> * details of the chain being delivered to Squid<br>
>> * details of the expected cross-signing chain(s).<br>
> <br>
> There are so many websites which are facing this issue.<br>
> For instance, "<a href="http://sbv.gov.vn:443" rel="noreferrer noreferrer" target="_blank">sbv.gov.vn:443</a> <<a href="http://sbv.gov.vn:443" rel="noreferrer noreferrer" target="_blank">http://sbv.gov.vn:443</a>>".<br>
> <br>
> # openssl s_client -connect <a href="http://sbv.gov.vn:443" rel="noreferrer noreferrer" target="_blank">sbv.gov.vn:443</a> <<a href="http://sbv.gov.vn:443" rel="noreferrer noreferrer" target="_blank">http://sbv.gov.vn:443</a>><br>
> -servername <a href="http://sbv.gov.vn" rel="noreferrer noreferrer" target="_blank">sbv.gov.vn</a> <<a href="http://sbv.gov.vn" rel="noreferrer noreferrer" target="_blank">http://sbv.gov.vn</a>> -showcerts -verify 5 -state<br>
> verify depth is 5<br>
<br>
...<br>
> <br>
> Could you please add the trusted_first option on squid ?<br>
> <br>
<br>
Ah. This is a feature of OpenSSL v1.1. Apparently your OpenSSL v1.0 has<br>
had the feature *partially* backported to it.<br>
<br>
I suggest you upgrade to Squid-4 and build against OpenSSL v1.1 where<br>
this "feature" is the default behaviour. Squid-3 is no longer supported<br>
for code updates.<br>
<br>
<br>
Amos<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div></div></div>