我正在构build一个Linux防火墙,只允许访问白名单的网站。 我从未做过这样的工作十年。
在过去,拦截并redirecthttp://www.example.com的请求到http:// firewall / notallowed是微不足道的 。
在现代networking上,存在很多https URL的链接。
假设SNI,我认为这样的请求只能被redirect,如果你有一个有效的证书为最初请求的网站。 (当然,这是一个拦截防火墙不会有的。)
现代俘虏门户网站是否以某种方式解决了这个https问题?或者用户的浏览器是否显示错误,而不是页面被阻止的有用的理由?
如果您尝试代理HTTPS请求并且无法提供有效的证书,则唯一可以做的事情是将其传递给原来的状态或导致错误。 否则会完全破坏HTTPS的目的。
无论出于何种原因决定检查和/或阻止来自其客户机器的TLSstream量的企业通常通过在其客户机器上安装他们自己的根证书来实现这一点。 这又可以让他们插入一个代理服务器,它可以根据需要生成有效的证书(从客户的angular度来看是有效的)。
另一方面,当然,在客户机上安装自己的证书也是一个很大的责任,除了首先检查TLSstream量的隐私问题之外。
这种方法显然只有在你控制所有客户端机器的情况下才有可能。
如果这是关于访客机器或其他情况,上述是不可接受的,这是不是你可以做一个“好”的方式。