我的理解是,“橙色云”[1]是TLS 终止反向代理。多个上游服务器共享同一个 Cloudflare Anycast IP。客户端与橙云之间形成 TLS 连接,橙云随后根据 SNI(HTTPS 标头)或 Host(HTTP 标头)做出转发决策,橙云与上游服务器之间形成单独的连接。
我的问题是,橙色云是否可以被实现为“基于 SNI 的 TLS 直通反向代理“而不是?例如,橙云不会终止 TLS 连接,它会在自身和客户端之间形成 TCP 握手,提取 TLS clientHello 数据包中的 SNI 以做出转发决策。考虑到多个上游服务器共享相同的任播 IP,并且主机名仅在 clientHello 中可用,以区分具有 ip.dest = 任播 IP 的数据包,这是否可以实现?
答案1
有,但是不是免费的:https://www.cloudflare.com/products/cloudflare-spectrum/
他们的常规代理会拦截 TLS 流量,以便对其进行 DDOS 保护。可能出于某些数据分析的原因,我还没有通读他们的整个隐私政策。
他们的付费服务确实提供 TLS 直通。