<div dir="auto">Thanks Amos,<div dir="auto"><br></div><div dir="auto">So does that mean for all my SSL::server_name ACLs, I should be using SSL_bump and not http_access</div><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">On Sat, 21 May 2022, 06:10 Amos Jeffries, <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 20/05/22 23:26, robert k Wild wrote:<br>
> Sorry I'm a bit thick<br>
> <br>
<br>
Don't be. These things beyond plain-text HTTP are unfortunately a bit <br>
complex.<br>
<br>
The key thing to remember is that Squid is dealing with *layers* of <br>
protocols wrapped around each other.<br>
<br>
This wiki page <br>
<<a href="https://wiki.squid-cache.org/Features/SslPeekAndSplice#Terminology" rel="noreferrer noreferrer" target="_blank">https://wiki.squid-cache.org/Features/SslPeekAndSplice#Terminology</a>> <br>
documents the process as well as we can.<br>
<br>
> So I've read SSL::server_name_regex which uses sni is better than <br>
> dstdomain_regex<br>
> <br>
> So I think I'm better of using the sni one then ?<br>
> <br>
<br>
Neither is "better". They check different things.<br>
<br>
Usually checking _both_ is useful since "HTTPS" is an HTTP request (with <br>
domain) wrapped inside TLS (with SNI). The two values there are usually <br>
supposed to be the same, but may not be.<br>
<br>
The ssl_bump access controls should check ssl::server_name* ACLs.<br>
<br>
The http_access should check dst* ACLs for HTTP message URL, and may <br>
also check ssl::* ACLs for TLS details (including the TLS server name).<br>
<br>
<br>
HTH<br>
Amos<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div></div>