非 443 埠上的代理伺服器和 ssl 安全風險

大多數 http 代理伺服器不允許通過非 443 埠發送 ssl。為什麼這是安全風險？

取決於它的原因。一種可能性是控制使用者訪問的站點和使用者訪問的服務。在公司環境中通常是這種情況。

預設情況下，您無法通過代理通過 SSL 監控內容。當客戶端建立 SSL 連接時，他們使用 CONNECT 方法而不是 GET/POST/HEAD，並且代理必須直接連接或阻止它。如果允許直接連接，則假定會話使用 SSL 加密。

因此，代理伺服器在監視和控制方面幾乎無能為力。例如，大多數公司代理可以過濾站點以查看它們是否在黑名單上，並根據 HTTP 標頭中的資訊阻止連接。使用 CONNECT 方法，這樣做是不可行的。

因此，如果允許連接到非 443 埠，則代理伺服器可用於訪問外部任何服務。例如，我可以對外部伺服器上的埠 22 進行 CONNECT 連接，然後通過它通過隧道傳輸 SSH 流量。我還可以對埠 6667 進行 CONNECT，然後在其上執行 IRC 會話。

除非付出額外的努力來分析流經它的流量，否則沒有人會更明智。因此，將 CONNECT 方法限制在埠 443 上要容易得多。

查看有關 HTTP 隧道的維基百科文章。

引用自：https://serverfault.com/questions/134293