本文翻译自这里,访问原文可能需要科学上网。
proxy服务器可以作为访问http和https资源的网关,这两种类型的存在造成了一种困惑,从而引发配置错误甚至安全漏洞。下面我们就一起来看一下这两种类型的proxy分别做了什么。
http proxy
先来看看流程,http客户端发送一个请求到http代理,让代理到远端目的服务器上获取资源然后传递给客户端。远端服务器上的资源不一定要通过http协议访问,只要代理支持,http客户端可以发送ftp或者其他命令给代理,这也包括https。http客户端访问代理使用的就是普通的http协议,像GET
,POST
,HEAD
。
http代理从客户端获取请求,分析并做出对应动作。如果请求的远端服务器的资源不在代理的缓存中从而需要重新获取的话,代理会做为客户端连接到远端服务器,获取请求的资源并传递给客户端。
如果远端服务器的资源需要通过https协议访问,http代理会去验证远端服务器的X.509证书。
这种http连接不能保证端到端的安全性。的确是可用提前对远端服务器的资源进行保护,但是即使客户端和代理都采用https,代理还是会接触到没有被https保护的原始数据,甚至这些原始数据还会保存在代理的缓存当中(如果代理开启了缓存功能的话)。
https proxy
https代理就是为了解决端到端安全性而出现的。还是先看看流程,客户端发送一个特殊的CONNECT
请求给代理,代理通过和远端服务器建立一条TCP连接从而创建一个不透明的隧道。TCP的套接字建立完成后,https代理返回一个200状态码给客户端并开始在客户端以及远端服务器之间转发数据。这种设计意味着客户端和远端服务器之间不仅仅局限于https流量,事实上任何协议都可以通过这个隧道在客户端和远端服务器之间传递。
代理连接到远端服务器并向客户端进行确认,从而建立一条不透明隧道。正是因为这种不透明的隧道,端到端的安全性得到了保障。
除非是要做debug或者是穿刺实验,不要使用http代理去获取https资源。