2

这可能吗?我的理解是这样的:不知道代理的客户端将直接与侦听器协商 SSL,而不是每次都发送 CONNECT 请求来识别目标主机。透明代理将需要一个目标主机来伪造具有客户端主机名的证书。

我读过一些浏览器支持客户端问候消息中的“server_name”扩展名,它将识别目标主机,如果扩展名存在,则可以这样做。但是,我不知道哪些浏览器支持这个扩展。

我认为这应该是可能的,但到目前为止我使用 squid 和 burp 的努力还没有成功。

我知道在初始连接阶段无法获取目标主机,但我认为通过正确的配置,可以在初始阶段允许转发连接,然后捕获返回的证书以便读取目标然后此时能够使用从合法证书派生的主机名注入代理自己的 CA 签名证书。

我认为让这个工作(如果可能的话)的最佳选择是使用squid的bump-server-first方法http://wiki.squid-cache.org/Features/BumpSslServerFirst

我很想知道是否有人成功地让这个工作。

4

0 回答 0