Security

代理伺服器如何過濾 https 網站?

  • January 14, 2022

由於我對 HTTPS 的了解有限,我開始想:代理伺服器如何過濾 HTTPS 網站?我的意思是添加代理伺服器本質上是一種 MITM 攻擊,這是 HTTPS 明確應該防止的

我能想到的唯一方法是通過IP和埠阻止伺服器。但是,對於SNI和萬用字元證書之類的東西,這意味著您可以阻止合法內容(假設必須被阻止的站點與在這種情況下必須可用的站點共享 IP)。

那它有什麼作用呢?由於加密,您無法讀取連接的內容;您所知道的是,某人很可能正在向某個 IP 地址發送 HTTPS 請求。

代理伺服器如何過濾 HTTPS 網站?

這並不容易。你有幾個糟糕的選擇,每個都有自己的問題。

您可以完全在通過 HTTP CONNECT 請求傳遞的 NAME/IP 上執行此操作。這意味著您可能會有很多誤報/誤報。

您可以執行 MITM 攻擊。對於企業環境中的幾個產品,CA 已設置,並且必須受到客戶端的信任,並且代理伺服器根據需要創建證書,以便客戶端相信一切都很好。代理必須驗證使用者連接到的站點的證書。這也意味著如果站點沒有有效的 SSL 證書,那麼客戶端可能完全不可能繼續訪問該站點。我懷疑如果你這樣做,你也會有更大的機會出現法律問題。

也有可能在客戶端機器上執行過濾器,但除非客戶端機器真的被鎖定,否則這可能不會很好地工作。

但是,對於 SNI 和萬用字元證書之類的東西,這意味著您可以阻止合法內容

如果您真的需要過濾 SSL,您幾乎肯定需要將其作為白名單,而不是黑名單。因此,您允許您信任的網站,並阻止不良網站。

引用自:https://serverfault.com/questions/276467