<div dir="ltr">Thanks Amos.<div><br></div><div>I have verified that squid build is done with openssl that supports 1.2 but not 1.3.</div><div>I am worried that squid does not pass the flag set via options.</div><div>I am able to lock squid to tls 1.2 only with sslproxy_version </div><div><br></div><div>To be a bit more clear, the squid implementation is a whitelist filtering proxy. It does not bump ssl requests. It does peek and splice on intercept.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 6 Oct 2020 at 20:34, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 6/10/20 1:35 pm, Nisa Balakrishnan wrote:<br>
> Hi,<br>
> <br>
> I am trying to allow access for only tls versions 1.2 and above on Squid<br>
> 3.5.20<br>
> <br>
<br>
Note that "above 1.2" are not supported by that ancient version of<br>
Squid. Your test disables everything except SSLv1 code in the library.<br>
<br>
<br>
> For testing purposes, I have set options in squid config as follows.<br>
> <br>
> ```<br>
> https_port 3130 cert=/etc/squid/ssl/squid.pem ssl-bump intercept<br>
> options=NO_SSLv2,NO_SSLv3,NO_TLSv1,NO_TLSv1_2<br>
> <br>
> sslproxy_options NO_SSLv2,NO_SSLv3,NO_TLSv1,NO_TLSv1_2<br>
> ```<br>
> <br>
<br>
Support for all those options depends on the version, build options, and<br>
global config settings of the OpenSSL library being used. They are just<br>
flags Squid passes to the library on connection setup.<br>
<br>
<br>
FWIW 3.1.20 is over 4 years old and a huge amount of change has happened<br>
to TLS since then. Please try to upgrade to current Squid-4 stable, or<br>
for best SSL-Bump behaviour the current Squid-5 beta.<br>
<br>
Amos<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><br style="color:rgb(136,136,136)"><div dir="ltr" style="color:rgb(136,136,136)"><div dir="ltr"><div dir="ltr"><table width="100%" style="margin:6px 0px;padding:4px;border-top:1px dotted rgb(153,153,153);border-bottom:1px dotted rgb(153,153,153);font-family:"Lucida Grande",Verdana,Arial,sans-serif;font-size:11px;color:rgb(96,111,120);min-width:530px"><tbody><tr><td width="26" style="padding:0px 4px 0px 0px"><img src="https://email-signature.servian.com/servian_email_142x23.png"></td><td width="130px"><img src="https://email-signature.servian.com/vibrato.png"></td><td><font color="#f48043"><b>Nisa Balakrishnan</b></font>      AutomationEngineer | m: <a href="tel:0473942819" style="color:rgb(17,85,204)" target="_blank">0473942819</a> | p: <a href="tel:+61390813700" style="color:rgb(17,85,204)" target="_blank">03 9081 3700</a><br>Level 20, Tower 5, Collins Square, 727 Collins Street, Docklands VIC 3008</td></tr></tbody></table><p style="margin:6px 0px;padding:4px;font-family:"Lucida Grande",Verdana,Arial,sans-serif;font-size:11px;color:rgb(96,111,120)">Vibrato has merged with Servian! Check out the news article <a href="https://www.arnnet.com.au/article/664971/servian-nabs-vibrato-multi-million-dollar-deal/" style="color:rgb(17,85,204)" target="_blank">here</a></p></div></div></div></div></div></div></div>