Haproxy Passthrough SSL 和 http 日誌？

我正在執行代理服務，因此我只能使用 TCP 直通，否則使用者會收到證書警告。

不幸的是，我們對 tcp 日誌知之甚少，我想確保伺服器上沒有進行非法活動。

所以問題是 - 是否可以通過 HTTPS 同時解密請求以儲存 http 日誌？

謝謝你。

TLS 使用了兩種密鑰交換方法（即在 HTTPS 中）：RSA 密鑰交換和 Diffie-Hellman (DH)。

使用 RSA 密鑰交換，理論上可以傳遞加密的原始流量，但只要客戶端知道伺服器證書的私鑰，仍然可以解密內容。但是 haproxy 不支持這一點，並且 RSA 密鑰交換在今天被認為是過時的密碼學，所以最好不要使用它。

通過 DH 密鑰交換，這種被動內容解密在設計上是不可能的。

相反，haproxy 也支持的可能是在 haproxy 處終止客戶端 TLS 連接，並創建另一個從 haproxy 到目標伺服器的連接。這要求 haproxy 同時擁有伺服器的證書和私鑰。如果需要相互身份驗證，這將不起作用，因為 haproxy 無法將原始客戶端證書傳遞給伺服器，因為 haproxy 沒有客戶端證書的私鑰。

引用自：https://serverfault.com/questions/923051