cert= :: caminho para o certificado SSL (PEM format).

key= :: caminho para o arquivo da chave privada SSL (PEM FORMAT). Se não for especificado, o arquivo do certificado é assumido como sendo uma combinação de certificado e chave no mesmo arquivo.

version= :: versões SSL/TLS suportadas:

1. automática (default)
2. SSLv2 somente
3. SSLv3 somente
4. TLSv1.0 somente
5. TLSv1.1 somente
6. TLSv1.2 somente

cipher= :: lista de cifras suportadas, separadas por dois pontos.

Nota: algumas cifras como EDH dependem de configurações adicionais. Se essas configurações forem omitidas, as cifras podem ser ignoradas pela biblioteca OpenSSL.

options= :: opções de implementação SSL. As mais importantes são:

• NO_SSLv2 :: desabilita o uso de SSLv2
• NO_SSLv3 :: desabilita o uso de SSLv3
• NO_TLSv1 :: desabilita o uso de TLSv1.0
• NO_TLSv1_1 :: desabilita o uso de TLSv1.1
• NO_TLSv1_2 :: desabilita o uso de TLSv1.2
• SINGLE_DH_USE :: sempre cria uma nova chave ao trocas DH temporárias/efêmeras.
• ALL :: ativa várias soluções de bugs sugeridas como "harmless" pelo OpenSSL. Isto reduz a segurança SSL/TLS para alguns ataques.

Veja a documentação "OpenSSL SSL_CTX_set_options" para uma lista completa de opções.

clientca= :: arquivo contendo listas de CAs quando um certificado do cliente for requisitado.

cafile= :: arquivo contendo certificados CA adicionais para usar na verificação. Se não for setada, a opção clientca será usada.

capath= :: diretório contendo certificados CA adicionais e listas CRL para verificação do certificado do cliente.

crlfile= :: arquivo de listas CRL adicionais usadas para verificar o certificado do cliente, além dos CRLs da opção capath. Implica na opção VERIFY_CRL abaixo.

dhparams= :: arquivo contendo os parâmetros DH para trocas de chave temporárias/efêmeras. Veja a documentação OpenSSL sobre como criar este arquivo.

Aviso: a cifragem EDH será silenciosamente desabilitada se esta opção não for setada.

sslflags= :: várias flags que modificam o uso de SSL:

• DELAYED_AUTH :: não solicitar imediatamente certificados de clientes, mas espere que a ACL requisite. (ainda não implementada).
• NO_DEFAULT_CA :: não use a lista padrão CA do OpenSSL.
• NO_SESSION_REUSE :: não permitir a reutilização da sessão. Cada conexão resultará em uma nova sessão SSL.
• VERIFY_CRL :: verificar listas CRL ao aceitar certificados de clientes.
• VERIFY_CRL_ALL :: verifique as listas CRL para todos os certificados da cadeia de certificados do cliente.

sslcontext= :: sessão SSL identificadora do contexto ID.

Outras opções: connection-auth[=on|off] :: use connection-auth=off para impedir encaminhamento NTLM, Negotiate e Kerberos. disable-pmtu-discovery= :: Path-MTU controle de uso de descoberta:

• Em off :: deixa que o S.O. decida (default).
• transparent :: desabilita a descoberta PMTU.
• always :: sempre desabilita a descoberta PMTU.

Em muitas configurações de proxy transparente, a descoberta Path-MTU não funciona. Este é o caso quando a interceptação não controla totalmente as conexões e não consegue transmitir mensagens ICMP. Se você tiver essa configuração e alguns clientes não conseguem conectar nunca ou esporadicamente, sete a opção "disable-pmtu-discovery" para "transparent".

name= :: especifica um nome interno para a porta. Padrões para a especificação de porta ("port" ou "addr:port").

tcpkeepalive[=idle,interval,timeout] :: habilita o keepalive TCP para conexões ociosas. Em segundos, "idle" é o momento inicial antes do TCP proibir a conexão, interval define quantas vezes, e timeout define o tempo de espera antes de desistir.

Se você rodar o Squid em uma máquina dual-homed com interfaces internas e externas, recomendamos que você especifique o endereço interno "address:port" em "http_port". Desta forma, o Squid só será visível no endereço interno.