Proxy
Haproxy Passthrough SSL 和 http 日誌?
我正在執行代理服務,因此我只能使用 TCP 直通,否則使用者會收到證書警告。
不幸的是,我們對 tcp 日誌知之甚少,我想確保伺服器上沒有進行非法活動。
所以問題是 - 是否可以通過 HTTPS 同時解密請求以儲存 http 日誌?
謝謝你。
TLS 使用了兩種密鑰交換方法(即在 HTTPS 中):RSA 密鑰交換和 Diffie-Hellman (DH)。
使用 RSA 密鑰交換,理論上可以傳遞加密的原始流量,但只要客戶端知道伺服器證書的私鑰,仍然可以解密內容。但是 haproxy 不支持這一點,並且 RSA 密鑰交換在今天被認為是過時的密碼學,所以最好不要使用它。
通過 DH 密鑰交換,這種被動內容解密在設計上是不可能的。
相反,haproxy 也支持的可能是在 haproxy 處終止客戶端 TLS 連接,並創建另一個從 haproxy 到目標伺服器的連接。這要求 haproxy 同時擁有伺服器的證書和私鑰。如果需要相互身份驗證,這將不起作用,因為 haproxy 無法將原始客戶端證書傳遞給伺服器,因為 haproxy 沒有客戶端證書的私鑰。