我最近遇到了一个情况,我运行的Web服务器不能再提供HTTPSstream量(由于一些SSL证书问题)。 由于服务器无法处理此stream量,因此我无法使用Apacheredirect规则redirect到非https。 然后我尝试在防火墙/ NAT设备上将XXXX:443redirect到XXXX:80,但似乎无法使其工作。
我不问如何做到这一点,因为它是特定于我的基础设施和设备。 但是有没有可能做到这一点? 一位同事build议,由于客户端正在请求安全连接,因此我们可能无法做到这一点,因为我们正在以不安全的连接进行响应。 这将不同于用302响应,并强制客户端使用apacheredirect对非https进行新的请求。
不。 在防火墙上将端口443redirect到80将会redirect它。 客户会希望启用SSL的东西能够回答,而他们会得到普通的HTTP答案。 这将导致错误(例如, ssl_error_rx_record_too_long )。
你指的是被称为SSL卸载 。 这是什么时候(基本上是启用了HTTPS的Web服务器)从HTTPSstream中卸载 SSL / TLS并从中生成HTTP,然后将其作为代理传递给HTTP Web服务器。
很明显,卸载者不应该有任何证书的问题。
如果您可以默认降级HTTPS连接,则可以轻松执行MITM攻击,所以这种行为将是不可取的。
而且,SSL连接需要在Web服务器甚至知道请求的内容之前build立,因为请求本身已经被encryption发送,因为请求数据至less与响应一样敏感(明文凭证)。 cookies。发布内容….)