<div dir="ltr">As Proofpoint moves to suri specific rule enhancements, I have one small concern. Currently sigs like 2022960 look for chunks of content in a ssl cert at various depths in the certificate. In the case of ssl breakout, the cert is malformed, so use of cert hashes isnt possible (cert is rewritten and has a new hash). Will these existing rules persist in content specific cert analysis, or will they be replaced with hash rules from places such as <a href="http://abuse.ch">abuse.ch</a> sslbl and the like? Thanks!</div>