<div dir="ltr"><div dir="ltr"><div>I would recommend to use squid which is able to do SSL bump.</div><div><br></div><div><a href="https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit">https://wiki.squid-cache.org/ConfigExamples/Intercept/SslBumpExplicit</a></div><div><br></div><div>Therefore, you'll be able to connect with TLS1.0 to squid and the proxy will establish a TLSv1.2 to the final destination.</div><div><br></div><div>Regards,</div><div>Flo<br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Dec 4, 2018 at 9:38 PM kovacs janos <<a href="mailto:kovacsjanosfasz@gmail.com">kovacsjanosfasz@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">well, what i meant is forwarding to the current address the browser<br>
connects to, so basically browsing through stunnel.<br>
<br>
is it really that complicated to achieve that? if i configure stunnel<br>
as a client, and make the browser send traffic to the accept address,<br>
shouldnt stunnel encrypt the traffic with TLS and send forward to the<br>
connect address? if thats true, shouldnt it also decrypt returning<br>
traffic and send back to the browser?<br>
when i configured stunnel as both client and server on the same<br>
computer, it worked, but the browser still gave<br>
'ssl_error_no_cypher_overlap' errors. probably because the server side<br>
decrypted it again before it reached the website's server?<br>
<br>
i dont necessarily need it to strip encryption, just use anything<br>
below TLS 1.1. for example on '<a href="https://via.hypothes.is/" rel="noreferrer" target="_blank">https://via.hypothes.is/</a>' i can visit<br>
sites that would otherwise give cypher error, and they stay as https<br>
<br>
On 12/4/18, Zizhong Zhang <<a href="mailto:zizazit@protonmail.com" target="_blank">zizazit@protonmail.com</a>> wrote:<br>
> Hello,<br>
><br>
>> im trying to make older browsers be able to display TLS 1.1 and TLS 1.2<br>
>> sites.<br>
>> i heard stunnel cant be configured to always forward to the current<br>
>> site address dynamically, thats why i would use privoxy.<br>
><br>
> If by "forward to the current site address dynamically" you meant "forward<br>
> to the current address of one specific domain" then stunnel can achieve that<br>
> by adding "delay = yes".<br>
><br>
> However, if I understood correctly, you wanted to let stunnel strip<br>
> or remove SSL for whatever sites you visit. Then no, I don't think you can<br>
> achieve that with privoxy and stunnel. If that's what you want, I would<br>
> suggest you use nginx to remove SSL. The following example configuration<br>
> will let nginx "upgrade" your HTTP request to HTTPS.<br>
><br>
> events {} http { server {<br>
>     resolver 9.9.9.9;<br>
>     listen 80;<br>
>     location / {<br>
>             proxy_pass https://$host$request_uri;<br>
>             proxy_set_header Host $http_host;<br>
>     }<br>
> }}<br>
><br>
> You can then point any domain to the nginx server (for example, via the<br>
> hosts file) and visit the site via HTTP. This will make HTTPS-oly servers<br>
> happy.<br>
><br>
> That won't strip third-party HTTPS:// URL resources like NewIPNow does, but<br>
> you can use the nginx "sub_filter" to replace HTTPS with HTTP in HTML. Also<br>
> there are "security features" like "Content-Security-Policy" that prevent<br>
> modern browsers from visiting your SSL-stripped sites, but I believe your<br>
> out-dated browser will happily ignore those.<br>
><br>
> --Zizhong<br>
><br>
_______________________________________________<br>
stunnel-users mailing list<br>
<a href="mailto:stunnel-users@stunnel.org" target="_blank">stunnel-users@stunnel.org</a><br>
<a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" rel="noreferrer" target="_blank">https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users</a><br>
</blockquote></div>