Ich versuche, eine bestimmte HTTPS-Anforderung an einen anderen Ort umzuleiten. Ich habe versucht, Squid zu verwenden, was für HTTP funktioniert hat, aber es kann die HTTPS-Anforderung nicht sehen. Ist das überhaupt möglich, da die Anforderung bereits verschlüsselt ist und Squid sie nicht einmal sehen kann?
Ich habe versucht, Squid mit und ohne Squirm zu verwenden, aber ohne Erfolg. Beim Überprüfen der Squid-Protokolle werden nur HTTP-Anfragen protokolliert und keine HTTPS. Bedeutet das, dass HTTPS nicht durch Squid laufen?
Ich habe den Trick hier ausprobierthttp://www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https. Sobald ich die Firewall-Einstellungen aktiviere, werden alle Anfragen an https blockiert. Wenn ich aber die Weiterleitung 443 an den Squid-Server deaktiviere, ohne Änderungen an der Squid-Konfiguration vorzunehmen, funktioniert es wieder.
Bitte helfen Sie. Danke
Antwort1
Ja, das ist möglich, aber nicht ganz trivial.
Zuerst müssen Sie eine Zertifizierungsstelle einrichten, der der Client vertraut. Sobald Sie das getan haben, können Sie die SSL-Bump-Funktion von Squid verwenden, um die Entschlüsselung durchzuführen (siehehttp://wiki.squid-cache.org/Features/SslBump).
Obwohl Sie den Kontext Ihres Vorhabens nicht erläutern, ist es wahrscheinlich erwähnenswert, dass Sie, wenn Sie ausgehende HTTPS-Verbindungen von einem Windows-Rechner debuggen möchten, dies auf eine viel einfachere Weise tun können, indem Sie den Fiddler-Webdebugger verwenden (http://www.fiddler2.com/fiddler2/)
Antwort2
Aufgrund der Natur von HTTPS ist es nicht möglich, ausgehende Verbindungen transparent über einen Proxy zu übertragen.
Da HTTPS-Verbindungen auf Netzwerkebene gesichert sind, wird jeder Versuch, sie abzufangen, erkannt und führt zur Unterbrechung der Kommunikation.
Es ist möglich, SSL per Proxy zu verwenden, wenn der Endbenutzer sich direkt mit dem Proxy verbindet, da der Proxy einfach selbst die sichere Verbindung einrichtet. Sie können jedoch nichttransparentProxy eine sichere Verbindung, da der Proxy keinen Zugriff auf dasselbe Zertifikat wie der echte Server hat und sich daher nicht als dieser ausgeben kann.