我想阻止我的内部网络的某些用户访问某些 URL。为此,我使用基于 squid 的显式代理和重定向程序。客户端配置为使用 pac 文件访问 https URL,这使得它们将其 https 请求路由到显式代理。
问题是,将任何针对 https url 的 CONNECT 请求重定向到被阻止的页面 url 都会失败。我尝试了基于 http 和 https 的被阻止页面 url,但都失败了。出于某些原因,我不想使用带有 SSL 碰撞的透明代理。
Safari 给出错误“Safari 无法打开页面。错误是“通过 Web 代理服务器建立安全隧道时出现问题””
Chrome 出现错误“此网页不可用。ERR_TUNNEL_CONNECTION_FAILED”。
以下是 access.log 中的一行https://www.yahoo.com。
2015 年 10 月 7 日:01:41:29 -0500 74 172.0.0.9 TCP_REDIRECT/302 253 CONNECT www.yahoo.com:443 - HIER_NONE/- -
我读到过一些文章说浏览器希望在连接请求后启动 SSL/TLS 握手,这就是它失败的原因。以下是 squid 重定向器文档中的一段引文。
“URL 更改和重定向仅可在某些方法上进行,而 POST 和 CONNECT 等方法则需要特别小心。”
它并没有说 CONNECT 方法不能重定向。但是,没有任何地方提到我们如何重定向 POST 和 CONNECT(我对 CONNECT 特别感兴趣),也没有给出任何示例。
请指导我如何将 https 连接请求重定向到被阻止的页面。如果这不可能,是否有使用显式代理的解决方法?谢谢。
我在 ubuntu 上使用 squid 3.5.4。
答案1
不幸的是,如果不先破坏(解密) SSL 连接,这是不可能的。浏览器在设计上拒绝任何来自失败的 CONNECT 请求的额外负载/重定向。有关更正式的描述,请参阅 -http://docs.diladele.com/faq/squid/cannot_connect_to_site_using_https.html。
如果你做决定执行 SSL 解密,那么可以首先让 CONNECT 请求成功,然后阻止/重定向通过此已建立的连接隧道的下一个 HTTP 请求 - 请考虑到它甚至可能不是 HTTP,因为某些应用程序使用 CONNECT 代理隧道来实现自己的协议(例如 Skype)。
还需要记住的是 - 如果应用程序在向代理发出 CONNECT 请求时使用了“SSL 固定”技术 - 它将拒绝使用解密的连接。