
<div dir="auto"><div>Thanks Alex,</div><div dir="auto"><br></div><div dir="auto">When I don't add the website to the white list I can't view the cert, so I cant download it and compare it with the one I can view/download when I do add it to the white list</div><div dir="auto"><br></div><div dir="auto">Or are you talking about turn the proxy off on Firefox and access the website normally?</div><div dir="auto"><br></div><div dir="auto">Thanks,</div><div dir="auto">Rob</div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Wed, 19 May 2021, 21:05 Alex Rousskov, <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 5/19/21 3:44 PM, robert k Wild wrote:<br>

<br>

> when i dont add it to the white list i cant view the website (obviously)<br>

> but can see the cert is provided by my squid (default company ltd)...i<br>

> was lazy creating it but cant view the cert<br>

> <br>

> when i add it to the white list, i can view the website and the cert<br>

> info and its def from my squid cert (default company ltd) as i see the<br>

> valid dates ie before and after<br>

<br>

The difference between those two certificates, if any, may be able to<br>

explain the difference in browser behavior. It would also be useful to<br>

compare those fake certificates with the real one.<br>

<br>

<br>

> i think i need to relax the ciphers in my squid.conf as some other https<br>

> websites i get the error page and i dont get the cert error message<br>

> <br>

> do you think relaxing the ciphers will work?<br>

<br>

Sorry, I do not know. Obviously, you can trivially check this theory.<br>

<br>

Alex.<br>

<br>

<br>

> On Wed, 19 May 2021, 19:12 Alex Rousskov wrote:<br>

> <br>

>     On 5/19/21 10:41 AM, robert k Wild wrote:<br>

>     > ok i found out what the error is<br>

>     ><br>

>     > its because in my squid.conf, i have a whitelist file<br>

>     ><br>

>     > #HTTP_HTTPS whitelist websites<br>

>     > acl whitelist ssl::server_name "/usr/local/squid/etc/urlwhite.txt"<br>

>     > http_access allow activation whitelist<br>

>     > http_access deny all<br>

>     ><br>

>     > once i added the url to that file, it worked<br>

>     ><br>

>     > but surely, instead of giving me an error saying<br>

>     ><br>

>     > secure connection failed<br>

>     > Error code: SEC_ERROR_BAD_SIGNATURE<br>

>     ><br>

>     > it should be the default error ie<br>

>     ><br>

>     > The following error was encountered while trying to retrieve the URL:<br>

>     > <a href="https://blah.blah" rel="noreferrer noreferrer" target="_blank">https://blah.blah</a> <<a href="https://blah.blah" rel="noreferrer noreferrer" target="_blank">https://blah.blah</a>> <<a href="https://blah.blah" rel="noreferrer noreferrer" target="_blank">https://blah.blah</a><br>

>     <<a href="https://blah.blah" rel="noreferrer noreferrer" target="_blank">https://blah.blah</a>>><br>

>     ><br>

>     >     Access Denied.<br>

>     ><br>

>     > how can i change this please<br>

> <br>

>     The answer depends on _why_ you get that SEC_ERROR_BAD_SIGNATURE error.<br>

> <br>

>     If Squid does not have enough information to properly bump your client<br>

>     connection, then there may be no bumping-based solution at all (e.g.<br>

>     when the client is using certificate pinning), or you would have to bump<br>

>     at step2 when more information is available to Squid (to generate a<br>

>     better fake certificate).<br>

> <br>

>     For the next step, try comparing the fake certificate that causes<br>

>     SEC_ERROR_BAD_SIGNATURE with the fake same-site certificate that works<br>

>     after you whitelist the problematic site. The browser should allow you<br>

>     to view both certificates. You can download them and use certificate<br>

>     printing tools like "openssl x509 -noout -text -in ..." to compare two<br>

>     certificate printouts.<br>

> <br>

>     HTH,<br>

> <br>

>     Alex.<br>

> <br>

> <br>

>     > On Wed, 19 May 2021 at 13:54, robert k Wild wrote:<br>

>     ><br>

>     >     hi all,<br>

>     ><br>

>     >     i have squid 4.15<br>

>     ><br>

>     >     i have imported my self signed cert on firefox and now i can<br>

>     access<br>

>     >     https website (where as before i got a software is preventing this<br>

>     >     website from opening)<br>

>     ><br>

>     >     but on some websites i get an error saying<br>

>     ><br>

>     >     secure connection failed<br>

>     >     Error code: SEC_ERROR_BAD_SIGNATURE<br>

>     ><br>

>     >     i attach my ssl bump conf in my squid.conf file<br>

>     ><br>

>     >     #SSL Bump<br>

>     >     http_port 3128 ssl-bump<br>

>     cert=/usr/local/squid/etc/ssl_cert/myCA.pem<br>

>     >     generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>

>     >   <br>

>      cipher=HIGH:MEDIUM:RC4:3DES:!aNULL:!eNULL:!LOW:!MD5:!EXP:!PSK:!SRP:!DSS<br>

>     >     sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s<br>

>     >     /var/lib/ssl_db -M 4MB<br>

>     >     acl step1 at_step SslBump1<br>

>     >     ssl_bump peek step1<br>

>     >     ssl_bump bump all<br>

>     ><br>

>     >     is there anything wrong you can see, i have tried to make a new CA<br>

>     >     but error still occures<br>

>     ><br>

>     >     thanks,<br>

>     >     rob<br>

>     ><br>

>     >     --<br>

>     >     Regards,<br>

>     ><br>

>     >     Robert K Wild.<br>

>     ><br>

>     ><br>

>     ><br>

>     > --<br>

>     > Regards,<br>

>     ><br>

>     > Robert K Wild.<br>

>     ><br>

>     > _______________________________________________<br>

>     > squid-users mailing list<br>

>     > <a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a><br>

>     <mailto:<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a>><br>

>     > <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

>     <<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a>><br>

>     ><br>

> <br>

>     _______________________________________________<br>

>     squid-users mailing list<br>

>     <a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a><br>

>     <mailto:<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a>><br>

>     <a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

>     <<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a>><br>

> <br>

<br>

</blockquote></div></div></div>