我想知道是否有可能有一个可以阻止特定 https 网站的 Web 代理?我们有一个国家 Web 代理,可以阻止色情等 Http 网站,但我们在拦截 https 网站时遇到问题,我们该如何解决?
答案1
对此有两个基本选项。第一个是通过 IP 地址阻止网站。这有一个明显的问题,即它需要解析黑名单上的所有名称,这些名称可能会随时间而变化,并且它会阻止恰好与色情网站共享 IP 地址的无辜网站(尽管,如果您只阻止 https 的 IP,第二个问题应该相当小 - 大多数网站每个 SSL 网站使用一个 IP,以防止证书错误)。
另一种方法是获取可以执行 SSL MitM 的代理。显然,这要么会在您的用户访问任何 https 网站时显示证书错误,要么需要在使用代理的每台计算机上安装您的 CA。它还会给您带来重要的隐私问题。