
<div dir="ltr"><div dir="auto">Thanks Alex,<div dir="auto"><br></div><div dir="auto">i think i know why now after further digging</div><div dir="auto"><br></div><div>when i dont add it to the white list i cant view the website (obviously) but can see the cert is provided by my squid (default company ltd)...i was lazy creating it but cant view the cert<br></div><div><br></div><div>when i add it to the white list, i can view the website and the cert info and its def from my squid cert (default company ltd) as i see the valid dates ie before and after</div><div><br></div><div>i think i need to relax the ciphers in my squid.conf as some other https websites i get the error page and i dont get the cert error message</div><div><br></div><div>do you think relaxing the ciphers will work?<br></div><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Wed, 19 May 2021, 19:12 Alex Rousskov, <<a href="mailto:rousskov@measurement-factory.com" target="_blank">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 5/19/21 10:41 AM, robert k Wild wrote:<br>

> ok i found out what the error is<br>

> <br>

> its because in my squid.conf, i have a whitelist file<br>

> <br>

> #HTTP_HTTPS whitelist websites<br>

> acl whitelist ssl::server_name "/usr/local/squid/etc/urlwhite.txt"<br>

> http_access allow activation whitelist<br>

> http_access deny all<br>

> <br>

> once i added the url to that file, it worked<br>

> <br>

> but surely, instead of giving me an error saying<br>

> <br>

> secure connection failed<br>

> Error code: SEC_ERROR_BAD_SIGNATURE<br>

> <br>

> it should be the default error ie<br>

> <br>

> The following error was encountered while trying to retrieve the URL:<br>

> <a href="https://blah.blah" rel="noreferrer noreferrer" target="_blank">https://blah.blah</a> <<a href="https://blah.blah" rel="noreferrer noreferrer" target="_blank">https://blah.blah</a>><br>

> <br>

>     Access Denied.<br>

> <br>

> how can i change this please<br>

<br>

The answer depends on _why_ you get that SEC_ERROR_BAD_SIGNATURE error.<br>

<br>

If Squid does not have enough information to properly bump your client<br>

connection, then there may be no bumping-based solution at all (e.g.<br>

when the client is using certificate pinning), or you would have to bump<br>

at step2 when more information is available to Squid (to generate a<br>

better fake certificate).<br>

<br>

For the next step, try comparing the fake certificate that causes<br>

SEC_ERROR_BAD_SIGNATURE with the fake same-site certificate that works<br>

after you whitelist the problematic site. The browser should allow you<br>

to view both certificates. You can download them and use certificate<br>

printing tools like "openssl x509 -noout -text -in ..." to compare two<br>

certificate printouts.<br>

<br>

HTH,<br>

<br>

Alex.<br>

<br>

<br>

> On Wed, 19 May 2021 at 13:54, robert k Wild wrote:<br>

> <br>

>     hi all,<br>

> <br>

>     i have squid 4.15<br>

> <br>

>     i have imported my self signed cert on firefox and now i can access<br>

>     https website (where as before i got a software is preventing this<br>

>     website from opening)<br>

> <br>

>     but on some websites i get an error saying<br>

> <br>

>     secure connection failed<br>

>     Error code: SEC_ERROR_BAD_SIGNATURE<br>

> <br>

>     i attach my ssl bump conf in my squid.conf file<br>

> <br>

>     #SSL Bump<br>

>     http_port 3128 ssl-bump cert=/usr/local/squid/etc/ssl_cert/myCA.pem<br>

>     generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>

>     cipher=HIGH:MEDIUM:RC4:3DES:!aNULL:!eNULL:!LOW:!MD5:!EXP:!PSK:!SRP:!DSS<br>

>     sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s<br>

>     /var/lib/ssl_db -M 4MB<br>

>     acl step1 at_step SslBump1<br>

>     ssl_bump peek step1<br>

>     ssl_bump bump all<br>

> <br>

>     is there anything wrong you can see, i have tried to make a new CA<br>

>     but error still occures<br>

> <br>

>     thanks,<br>

>     rob<br>

> <br>

>     -- <br>

>     Regards,<br>

> <br>

>     Robert K Wild.<br>

> <br>

> <br>

> <br>

> -- <br>

> Regards,<br>

> <br>

> Robert K Wild.<br>

> <br>

> _______________________________________________<br>

> squid-users mailing list<br>

> <a href="mailto:squid-users@lists.squid-cache.org" rel="noreferrer" target="_blank">squid-users@lists.squid-cache.org</a><br>

> <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

> <br>

<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" rel="noreferrer" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div></div>

</div>