通过代理服务器的 HTTPS 连接

Question

是否可以通过代理服务器建立 HTTPS 连接？ 如果是，什么样的代理服务器允许这样做？

与 如何将 Socks 5 代理与 Apache 一起使用重复HTTP 客户端 4？

Answer 1

TLS/SSL（HTTPS 中的 S）保证您和您正在联系的服务器之间没有窃听者，即没有代理。 通常，您使用 CONNECT 打开通过代理的 TCP 连接。 在这种情况下，代理将无法缓存、读取或修改任何请求/响应，因此毫无用处。

如果希望proxy能够读取信息，可以采取以下做法：

1. 客户端启动HTTPS会话
2. Proxy透明拦截连接并
   返回临时生成的（可能
   弱）证书 K_{a，
   由证书颁发机构签名
   是无条件信任的
   客户端。}
3. 代理启动与目标的 HTTPS 会话
4. 代理验证 SSL 的完整性
   证书; 如果出现以下情况，则显示错误
   证书无效。
5. 代理传输内容并解密
   并用它重新加密
   K_a
6. 客户端显示内容

一个例子是 Squid 的 SSL 碰撞。 同样，可以配置 burp 来执行此操作。 这也是埃及 ISP 在不太友善的环境中使用。

请注意，现代网站和浏览器可以使用 HPKP 或 内置证书 pin 击败了这种方法。

Answer 2

简短的回答是：这是可能的，并且可以使用特殊的 HTTP 代理或 SOCKS 代理来完成。

首先，HTTPS 使用 SSL/TLS，其设计通过在不安全的通信通道上建立安全的通信通道来确保端到端安全性。 如果 HTTP 代理能够看到内容，那么它就是中间人窃听者，这违背了 SSL/TLS 的目标。 因此，如果我们想通过普通的 HTTP 代理进行代理，就必须使用一些技巧。

诀窍是，我们使用名为 CONNECT< 的特殊命令将 HTTP 代理转换为 TCP 代理/代码>。 并非所有 HTTP 代理都支持此功能，但现在很多都支持。 TCP 代理无法看到以明文形式传输的 HTTP 内容，但这并不影响其来回转发数据包的能力。 这样，客户端和服务器就可以借助代理进行通信。 这是代理 HTTPS 数据的安全方式。

还有一种不安全的方法，即 HTTP 代理成为中间人。 它接收客户端发起的连接，然后向真实服务器发起另一个连接。 在实施良好的 SSL/TLS 中，客户端将被告知代理不是真正的服务器。 因此，客户端必须通过忽略警告来信任代理才能正常工作。 之后，代理只需解密一个连接中的数据，重新加密并将其提供给另一个连接。

最后，我们当然可以通过 SOCKS 代理来代理 HTTPS，因为 SOCKS 代理工作在较低级别。 您可能认为 SOCKS 代理既是 TCP 代理又是 UDP 代理。

Answer 3

据我记得，您需要在代理上使用 HTTP CONNECT 查询。 这会将请求连接转换为透明的 TCP/IP 隧道。

所以你需要知道你使用的代理服务器是否支持该协议。

Answer 4

如果仍然感兴趣，这里是类似问题的答案：
将 Twisted 中的 HTTP 代理转换为 HTTPS 代理

回答问题的第二部分：

如果有，是什么类型的代理服务器
允许这样做吗？

大多数代理服务器开箱即用，将配置为仅允许 HTTPS 连接到端口 443，因此具有自定义端口的 https URI 不起作用。 这通常是可配置的，具体取决于代理服务器。 例如，Squid 和 TinyProxy 支持此功能。

Answer 5

这是我的完整 Java 代码，它支持使用 SOCKS 代理的 HTTP 和 HTTPS 请求。

import java.io.IOException;
import java.net.InetSocketAddress;
import java.net.Proxy;
import java.net.Socket;
import java.nio.charset.StandardCharsets;

import org.apache.http.HttpHost;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.protocol.HttpClientContext;
import org.apache.http.config.Registry;
import org.apache.http.config.RegistryBuilder;
import org.apache.http.conn.socket.ConnectionSocketFactory;
import org.apache.http.conn.socket.PlainConnectionSocketFactory;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.impl.conn.PoolingHttpClientConnectionManager;
import org.apache.http.protocol.HttpContext;
import org.apache.http.ssl.SSLContexts;
import org.apache.http.util.EntityUtils;

import javax.net.ssl.SSLContext;

/**
    * How to send a HTTP or HTTPS request via SOCKS proxy.
    */
public class ClientExecuteSOCKS {

    public static void main(String[] args) throws Exception {
        Registry<ConnectionSocketFactory> reg = RegistryBuilder.<ConnectionSocketFactory>create()
            .register("http", new MyHTTPConnectionSocketFactory())
            .register("https", new MyHTTPSConnectionSocketFactory(SSLContexts.createSystemDefault
                ()))
            .build();
        PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(reg);
        try (CloseableHttpClient httpclient = HttpClients.custom()
            .setConnectionManager(cm)
            .build()) {
            InetSocketAddress socksaddr = new InetSocketAddress("mysockshost", 1234);
            HttpClientContext context = HttpClientContext.create();
            context.setAttribute("socks.address", socksaddr);

            HttpHost target = new HttpHost("www.example.com/", 80, "http");
            HttpGet request = new HttpGet("/");

            System.out.println("Executing request " + request + " to " + target + " via SOCKS " +
                "proxy " + socksaddr);
            try (CloseableHttpResponse response = httpclient.execute(target, request, context)) {
                System.out.println("----------------------------------------");
                System.out.println(response.getStatusLine());
                System.out.println(EntityUtils.toString(response.getEntity(), StandardCharsets
                    .UTF_8));
            }
        }
    }

    static class MyHTTPConnectionSocketFactory extends PlainConnectionSocketFactory {
        @Override
        public Socket createSocket(final HttpContext context) throws IOException {
            InetSocketAddress socksaddr = (InetSocketAddress) context.getAttribute("socks.address");
            Proxy proxy = new Proxy(Proxy.Type.SOCKS, socksaddr);
            return new Socket(proxy);
        }
    }

    static class MyHTTPSConnectionSocketFactory extends SSLConnectionSocketFactory {
        public MyHTTPSConnectionSocketFactory(final SSLContext sslContext) {
            super(sslContext);
        }

        @Override
        public Socket createSocket(final HttpContext context) throws IOException {
            InetSocketAddress socksaddr = (InetSocketAddress) context.getAttribute("socks.address");
            Proxy proxy = new Proxy(Proxy.Type.SOCKS, socksaddr);
            return new Socket(proxy);
        }
    }
}

Answer 6

您可以使用中间人技术和动态 SSL 生成来实现此目的。 看一下 mitmproxy - 它是一个基于 Python、支持 SSL 的 MITM 代理。

Answer 7

通过 SSH 建立隧道（端口转发）HTTPS（Linux 版本）：

1. 在 localhost 上使用 443 关闭。

2. 以 root 身份启动隧道：

   ssh -N login@proxy_server -L 443:target_ip:443 
     

3. 将 127.0.0.1 target_domain.com 添加到 /etc/hosts。

您在本地主机上执行的所有操作。
然后：可以从 localhost 浏览器访问 target_domain.com。

Answer 8

我不认为“通过代理服务器有 HTTPS 连接”意味着代理服务器的中间人攻击类型。 我认为这是在询问是否可以通过 TLS 连接到 http 代理服务器。 答案是肯定的。

---

是否可以通过代理服务器建立 HTTPS 连接？

是的，请参阅我的问题和答案
这里。 HTTPs 代理服务器仅适用于 SwitchOmega

如果是，什么样的代理服务器允许这样做？

这种代理服务器会像普通网站一样部署SSL证书。 但是您需要一个 pac 文件供浏览器配置通过 SSL 的代理连接。

Answer 9

我尝试

• 启动隧道：ssh -N -D 12345 login@proxy_server
• 在firefox设置中将代理设置为localhost:12345
  • 并勾选“将此代理用于所有协议”

但这会导致每当我尝试连接到 https 网站时出现“不安全连接”错误。

解决方案是

• “取消勾选”“对所有协议使用此代理”，
• 将代理“localhost:12345”仅设置为 SOCKS 代理
• ，并将 HTTP 代理、SSL 代理、FTP 代理留空

参考数字海洋文档

如何使用 SOCKS 隧道无需 VPN 即可安全路由 Web 流量