<div dir="ltr">Hello squid-users,<br><div><br></div><div>I wonder if there is a set of workable acls at present that can detect and/or block domain fronting. By way of my understanding, that would be comparing the TLS SNI during a client connecting to squid and issuing a CONNECT method. Squid would bump that TLS request to also examine each and every Host header and compare it to the TLS SNI to see if there is a discrepancy.</div><div><br></div><div>Looking at the code at the moment I can only see absolute URL vs host header checks, which do not appear to look at the CONNECT TLS SNI, which I think to be found in the master xaction.</div><div><br></div><div>Regards,</div><div><br></div><div>Jason.</div><div><br></div><div><br></div></div>