<div dir="ltr"><div><div>Hey Squid community,<br><br>I would greatly appreciate a hint on how to configure Squid to achieve the following:<br><br>Context<br>========<br>Transparent HTTP/S proxy (ideally no TLS re-encryption)<br>Domain allowlist acl<br>Squid v6.13<br><br>Goal<br>========<br>Have Squid "inspect" HTTPS requests (as much as possible/needed with the actions provided by ssl_bump) and perform the host header forgery check in addition to checking if the host extracted from SNI matches the domain allowlist acl.<br>The configuration should basically prevent this: ]$ curl --insecure --resolve <domain on allowlist>:443:<arbitrary IP not associated with domain> https://<domain on allowlist><br><br>It seems like all the necessary tools are provided, and I see hints pointing to this possibility, e.g. <a href="https://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery">https://wiki.squid-cache.org/KnowledgeBase/HostHeaderForgery</a> (the INFO box) but I'm having trouble using them to accomplish the desired effect.<br>The host_verify_strict option seems to solve this for unencrypted HTTP and I got the domain allowlist to work for HTTP + HTTPS - it's just easily circumvented by the curl above in the case of HTTPS.<br><br>A rough idea about the order/placement of the acls involved (relative to the ssl_bump steps where applicable) would help a lot.<br><br>Cheers,<br>Adrian<br></div></div></div>