Redirect
攔截的 https 請求是否無法重定向?
我正在建構一個 Linux 防火牆盒,只允許訪問白名單站點。我已經有 10 年沒有做過這種工作了。
在過去,攔截http://www.example.com>的請求並將其重定向到<http://firewall/notallowed是微不足道的。
在現代網路上,存在許多指向 https URL 的連結。
假設 SNI,我是否認為只有在您擁有原始請求站點的有效證書時才能重定向此類請求。(當然,攔截防火牆是沒有的。)
現代強制門戶是否以某種方式解決了這個 https 問題 - 還是使用者的瀏覽器只是顯示錯誤,而不是頁面被阻止的有用原因?
如果您嘗試代理 HTTPS 請求並且您無法提供有效的證書,那麼您唯一能做的就是將其原封不動地通過或導致錯誤。其他任何事情都會完全破壞 HTTPS 的目的。
無論出於何種原因,決定檢查和/或阻止來自其客戶端電腦的 TLS 流量的企業通常通過在其客戶端電腦上安裝自己的根證書來實現這一點。這反過來又使他們可以插入一個代理伺服器,該代理伺服器可以根據需要生成有效的證書(從他們的客戶的角度來看是有效的)。
當然,另一方面,除了首先檢查 TLS 流量的隱私問題之外,在客戶端機器上安裝自己的證書也是一個很大的負擔。
這種方法顯然只有在您控制所有客戶端機器的情況下才有可能。
如果這是關於來賓機器或上述不可接受的其他情況,那麼這並不是您可以以“好”方式做的事情。