
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, May 26, 2021 at 11:32 AM Matus UHLAR - fantomas <<a href="mailto:uhlar@fantomas.sk">uhlar@fantomas.sk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">>> >On 22/05/21 2:06 am, Odhiambo Washington wrote:<br>

>> >>I installed this on my Windows 10 but gave up when I could not make<br>

>> >>it to cache anything.<br>

>><br>

>> On 26.05.21 12:57, Amos Jeffries wrote:<br>

>> >Squid by default uses a memory based cache these days. Unless your<br>

>> >traffic is non-cacheable you should be seeing some things stored there<br>

>> >without any configuration.<br>

<br>

>On Wed, May 26, 2021 at 10:18 AM Matus UHLAR - fantomas <<a href="mailto:uhlar@fantomas.sk" target="_blank">uhlar@fantomas.sk</a>><br>

>wrote:<br>

>> The main problem is that most of web content it HTTPS, which means it's<br>

>> hardly cacheable outside of web browsers.<br>

>><br>

>> with https, proxy only sees stream of encrypted data:<br>

>> the "s" in https means "secure" so no third party sees your data.<br>

>><br>

>> caching it requires decrypting of the connection, which means doing<br>

>> man-in-the-mittle attack.  It requires private certififacion authority<br>

>> installed on squid and in the browser, and for some domains using CAA<br>

>> browsers will still complain, or you'll have to fake DNS CAA records, which<br>

>> is harder with when using DNSSES, DoT or DoH.<br>

<br>

On 26.05.21 11:25, Odhiambo Washington wrote:<br>

>In the light of the foregoing, what is the standard way of deploying Squid<br>

>these days?<br>

>Is the use of the ssl_bump becoming standard or no one needs any caching<br>

>within Squid these days so that Squid<br>

>has become a tool for filtering and access control only?<br>

<br>

I guess it's the latter.<br>

<br>

I personally think in cases of e.g.  public documents where the only privacy<br>

issue is that you know who accesses what content, simpler version of<br>

security could be enough: confirmation of authenticity (the content was not<br>

modified). Such content could be cacheable.</blockquote><div> </div><div>Thank you for clarifying this.</div><div>So ideally, outbound access control and reverse proxying :) </div></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">", </span><span style="font-size:12.8px">egrep -v "^$|^.*#" :-)</span></div></div></div></div></div>