<div dir="ltr">In this case we're not looking to authenticate the user themselves with the squid server but with the destination web server, does that change the scope?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 27, 2021 at 10:57 AM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 4/27/21 1:33 PM, Justin Cook wrote:<br>
> We are running into a situation where we are unable to fully<br>
> authenticate our users to an internal tooling service that requires<br>
> certificate authentication as part of its login process, when going<br>
> through squid forward proxy with SSL bump enabled.<br>
<br>
SslBump does not support "TLS inside TLS" configurations, which is what<br>
you get when you combine certificate-based proxy authentication (which<br>
requires an https_port working in a forward proxy mode) with SslBump<br>
(which, for an https_port, currently requires an interception proxy mode).<br>
<br>
It is possible to add support for "TLS inside TLS", but it requires a<br>
serious development effort.<br>
<br>
<a href="https://wiki.squid-cache.org/SquidFaq/AboutSquid#How_to_add_a_new_Squid_feature.2C_enhance.2C_of_fix_something.3F" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/SquidFaq/AboutSquid#How_to_add_a_new_Squid_feature.2C_enhance.2C_of_fix_something.3F</a><br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
</blockquote></div>