
<div dir="auto"><div dir="auto"></div>Great thanks Amos as always<div dir="auto"><br></div><div dir="auto">So shall I leave this ssl bump lines in</div><div dir="auto"><br></div><div dir="auto"><span style="font-family:sans-serif">ssl_bump splice NoSSLIntercept</span><br></div><div dir="auto"><span style="font-family:sans-serif">> ssl_bump peek DiscoverSNIHost</span><br style="font-family:sans-serif"><span style="font-family:sans-serif">> ssl_bump bump all</span><br></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">And delete this one</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">acl step1 at_step SslBump1</span><br style="font-family:sans-serif"><span style="font-family:sans-serif">> ssl_bump peek step1</span><br style="font-family:sans-serif"><span style="font-family:sans-serif">> ssl_bump bump all</span><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><span style="font-family:sans-serif">As your right there both the same, I didn't spot that</span></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><font face="sans-serif">My understanding is the "no ssl intercept", squid doesn't even bother to inspect the packets ie man in the middle and just literally passes it straight to the client</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">Is that right?</font></div><div dir="auto"><font face="sans-serif"><br></font></div><div dir="auto"><font face="sans-serif">Thanks,</font></div><div dir="auto"><font face="sans-serif">Rob </font></div><div dir="auto"><span style="font-family:sans-serif"><br></span></div><div dir="auto"><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Wed, 11 Aug 2021, 06:48 Amos Jeffries, <<a href="mailto:squid3@treenet.co.nz" target="_blank" rel="noreferrer">squid3@treenet.co.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 11/08/21 4:56 am, robert k Wild wrote:<br>

> hi all,<br>

> <br>

> before i continue, so sorry for the stupid question but trying to learn<br>

> <br>

> basically heres my squid.conf<br>

> <br>

> #NO SSL Interception<br>

> acl DiscoverSNIHost at_step SslBump1<br>

> acl NoSSLIntercept ssl::server_name <br>

> "/usr/local/squid/etc/nointerceptssl.txt"<br>

> ssl_bump splice NoSSLIntercept<br>

> ssl_bump peek DiscoverSNIHost<br>

> ssl_bump bump all<br>

> <br>

> #SSL Bump<br>

> http_port 3128 ssl-bump cert=/usr/local/squid/etc/ssl_cert/myCA.pem <br>

> generate-host-certificates=on dynamic_cert_mem_cache_size=4MB<br>

> sslcrtd_program /usr/local/squid/libexec/security_file_certgen -s <br>

> /var/lib/ssl_db -M 4MB<br>

<br>

Note:<br>

<br>

  You already have ssl_bump rules above which either splice or bump at <br>

step 1. These following ssl_bump rule either never get reached, or are <br>

already known impossible to perform if they do get reached.<br>

<br>

<br>

> acl step1 at_step SslBump1<br>

> ssl_bump peek step1<br>

> ssl_bump bump all<br>

> #<br>

> #allow special URL paths<br>

> acl special_url url_regex "/usr/local/squid/etc/urlspecial.txt"<br>

> <br>

> #deny MIME types<br>

> acl mimetype rep_mime_type "/usr/local/squid/etc/mimedeny.txt"<br>

> <br>

> http_reply_access allow special_url<br>

> http_reply_access deny mimetype<br>

> #<br>

> #HTTP_HTTPS whitelist websites<br>

> acl whitelist ssl::server_name "/usr/local/squid/etc/urlwhite.txt"<br>

> <br>

> #HTTP_HTTPS whitelist websites regex<br>

> acl whitelistreg ssl::server_name_regex <br>

> "/usr/local/squid/etc/urlregwhite.txt"<br>

> <br>

> http_access allow activation whitelist<br>

> http_access allow activation whitelistreg<br>

> http_access deny all<br>

> <br>

> in my urlwhitelist is this<br>

> <br>

...<br>

> in my nointerceptssl is this<br>

> <br>

...<br>

<br>

> <br>

> i got all the urls etc looking at tail -f access.log and greping the ip <br>

> and tcp denied<br>

> <br>

> but when i try to load the apple app store the whitelist isnt enough, i <br>

> need to add a couple of urls to the nointerceptssl<br>

> <br>

> i got that list by doing the same method ie looking at tail -f <br>

> access.log and greping the ip but as ive already whitelisted the urls <br>

> they all came back as none or ok instead of saying tcp denied<br>

> <br>

> my question is why do i need to add some urls to the nointerceptssl and <br>

> why isnt it enough just to add it to urlwhite list<br>

> <br>

<br>

Because you are using those ACLs exclusively for very different things.<br>

<br>

  - "whitelist" is being exclusively used to check URI domains found in <br>

HTTP messages (http_access). Where "server name" is the CONNECT tunnel <br>

authority name or IPs reverse-DNS name, or decrypted https:// URL <br>

domain. It has nothing to do with the TLS handshake activity.<br>

<br>

  - "NoSSLIntercept" is being exclusively used for TLS handshake <br>

decisions (ssl_bump). Where "server name" is the CONNECT tunnel <br>

authority name or raw-IP, TLS SNI, or server certificate altSubjectName.<br>

<br>

<br>

You could use whitelist ACL in ssl_bump checks instead of <br>

NoSSLIntercept. At which point the ACL is now being used for both sets <br>

of checks and decisions.<br>

<br>

<br>

Amos<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" rel="noreferrer noreferrer" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div></div></div>