我正在构建一个 Linux 防火墙,只允许访问白名单网站。我已经 10 年没做过这种工作了。
在过去,拦截并重定向请求很简单http://www.example.com到http://防火墙/notallowed。
在现代网络上,存在许多指向 https URL 的链接。
假设有 SNI,我是否正确地认为,只有当您拥有最初请求的站点的有效证书时,才能重定向此类请求。(当然,拦截防火墙不会有。)
现代强制门户是否以某种方式解决了这个 https 问题 - 或者用户的浏览器是否仅显示错误,而不是页面被阻止的有用原因?
答案1
如果您尝试代理 HTTPS 请求,但无法提供有效证书,那么您唯一能做的就是原封不动地让其通过,或者导致错误。任何其他做法都会完全破坏 HTTPS 的用途。
无论出于何种原因,企业决定检查和/或阻止来自其客户端计算机的 TLS 流量时,通常通过在客户端计算机上安装自己的根证书来实现这一点。这反过来又使他们能够插入代理服务器,该服务器可以根据需要生成有效证书(从其客户端的角度来看有效)。
当然,另一方面,除了检查 TLS 流量的隐私问题之外,在客户端计算机上安装自己的证书也是一项巨大的负担。
显然,只有当您控制所有客户端机器时,这种方法才是可行的。
如果这是关于客户机器或其他一些上述情况不可接受的情况,那么这并不是你能以“好”的方式做的事情。