我已经search了很多个小时,为SSL(而不是Squid)设置透明代理的方法。 一般的答案是我不能,但我知道有一些方法 。 我的目的只是以下几点: 黑名单/白名单域名(不是IP号码)。 内容不会被过滤或修改。 强制用户通过这些列表。 如果我在网页浏览器中修改这些设置,他们可以撤消它。 下面的页面告诉我可以通过未经修改的stream量,但它没有说明: iptables https透明代理与privoxy? 下面的页面显示了一个443的iptables规则,我自己无法工作: http : //alien.slackbook.org/dokuwiki/doku.php?id=slackware : proxy 下面的页面告诉我们如何才能使它和squid一起工作: http : //www.rahulpahade.com/content/squid-transparent-proxy-over-ssl-https 编辑:一个人在这里说: 我如何使用IPTABLES创buildHTTPS(443)通过鱿鱼周围? “最好的办法是阻止对端口443的直接访问,并告诉用户如果他们想使用HTTPS,他们必须configuration他们的浏览器来使用代理。” 但是我只知道如何完全阻止443,而不是在代理下工作。
我正在使用nginx,并希望实现SSL会话恢复。 我们应该如何testing它是否工作? 我已启用这些设置: ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
我的SSL证书是为mydomain.com,所以我试图将所有www.mydomain.comredirect到没有www。 现在,所有这些工作: http://www.mydomain.com http://mydomain.com https://mydomain.com 但https://www.mydomain.com是给浏览器的“网站不安全”的警告…我试图设置一个像下面的redirect,但请告诉我在哪里我的脚本是越野车… server { listen 80; server_name www.mydomain.com mydomain.com; rewrite ^(.*) https://mydomain.com$1 permanent; client_max_body_size 100M; location / { index index.htm index.html index.php; } location ~ \.php$ { include fastcgi_params; fastcgi_index index.php; fastcgi_pass 127.0.0.1:9000; fastcgi_param SCRIPT_FILENAME /var/www/mysite$fastcgi_script_name; } } server { listen 443; ssl on; ssl_certificate /usr/local/nginx/conf/public.crt; ssl_certificate_key /usr/local/nginx/conf/server.key; server_name www.mydomain.com; rewrite […]
CloudFlare提供了ssl支持。 但是,如果访问者访问受CloudFlare保护的网站,CloudFlare是否能够知道访问期间传输的明文数据? 有几个SSL选项: 灵活的SSL 完整的SSL 完全SSL(严格) 我知道,对于Flexible SSL,CloudFlare可能知道明文数据,因为数据已被CloudFlare解密并不安全地发送到Web服务器。 全SSL和全SSL(严格)呢? CloudFlare先解密再重新encryption发送给networking服务器吗?
我的公司希望将其“信息”网站从HTTP重写为HTTPS。 从技术上讲,这对我来说不是什么大问题。 但是我怀疑这是否是最先进的,因为他们想要这个的唯一原因是encryption联系人和registry单。 (我可以使用表单为网站启用HTTPS,但是,他们不喜欢这种方法。) 拥有HTTPS公司网站的缺点和低迷是什么? 你有什么经验和build议? Web应用程序正在另一个URL上运行,并被encryption。 问候
这里是我简写的nginx vhost conf: upstream gunicorn { server 127.0.0.1:8080 fail_timeout=0; } server { listen 80; listen 443 ssl; server_name domain.com ~^.+\.domain\.com$; location / { try_files $uri @proxy; } location @proxy { proxy_pass_header Server; proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto https; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Scheme $scheme; proxy_connect_timeout 10; proxy_read_timeout 120; proxy_pass http://gunicorn; […]
我已经configuration了AWS ELB以指向运行Wordpress 3.2.1的我的Ubuntu服务器。 一切工作良好的服务器,直到我把它放在负载平衡器后面。 我将负载均衡器设置为将端口80转发到端口80,将端口443转发到端口80。 我设置我的虚拟主机文件来检查elb的头文件: RewriteEngine On RewriteCond%{HTTP:X-Forwarded-Proto}!https RewriteRule!/状态https://% {SERVER_NAME}%{REQUEST_URI} [L,R] 现在,每当我去到一个httpsurl,我得到这个消息: 此网页有redirect循环 https://mywebsite.com/securepage/上的网页导致了太多的redirect 只要我禁用wordpress https插件 ( http://wordpress.org/extend/plugins/wordpress-https/ ) 这些网页可以正常工作,但现在已经充满了混合内容 应该是https的页面不再是https。 只要我直接访问服务器,而不是通过ELB,它再次工作。 有关我如何才能使用AWS ELB工作的任何想法?
我们正试图在我们的公司networking上部署Google Chrome浏览器,但是与IE相比,我们发现加载https页面(特别是我们自己的内部浏览器)需要花费2-4倍的时间。 有没有人经历过这个,发现一个修复? 更新 基于Handyman5的build议,我在Chrome中运行了一些诊断程序,发现从caching中提取静态文件和渲染页面花费的时间最多(每页超过90%)。 但是,如果我在我们的网站上closuresSSL,这几乎是瞬间的。 任何想法,为什么这将是?
请看下面的图表。 替代文字http://i30.tinypic.com/8wk4tt.png 这个怎么工作? 当远程请求http:// myhost.com:8080/*时,请求应该被转发到监听回送接口的8008端口的http服务器。 这是简单的部分。 当远程用户请求http:// myhost.com:8080/specialurl … 充当应用程序级别网关的程序应该能够将连接升级到encryption会话( 不更改端口 ) 在与远程浏览器build立encryption会话之后,它应该将请求转发到C程序,该程序侦听回送接口的8000端口 我的问题是 : 你有没有在生产环境中部署这样的解决scheme? 如果你有… 你用什么产品作为应用程序网关? 你能提供一个configuration例子吗? 硬限制 : 我没有防火墙的控制权 ,通过它我可以获得外部stream量进入内部服务器的唯一端口是8080.端口号是无关紧要的,只是有一个端口在防火墙级别打开,转发传入stream量到内部服务器。 内部服务器必须运行Linux(目前正在运行Debian Lenny) 远程用户只需要使用当前的Web浏览器和Internet连接即可访问此服务器。 这意味着通过SSH的反向端口转发不是一个选项。 我需要一个经过生产testing的产品,并且可以很容易地部署。 我不打算开发自己的应用程序网关 (如果是这样的话,我想我会问在堆栈溢出这个问题,而不是在服务器故障问)。 软限制 : 我想避免将Apache作为应用程序网关(尽pipe如果这是唯一可能的select,我愿意这样做) 如果可能的话,应用程序网关应该是一个成熟的开源软件产品。 产品尝试到应用程序网关 (没有成功) nginx的 lighttpd的 磅 相关的RFC RFC2817(… 解释了如何使用HTTP / 1.1中的升级机制来通过现有的TCP连接启动传输层安全性(TLS),这使得不安全和安全的HTTPstream量可以共享相同的已知端口 …) RFC2818(… 描述了如何使用TLS来保护通过Internet的HTTP连接。目前的做法是将HTTP over SSL(TLS的前身)分层,通过使用不同的服务器端口来区分安全stream量和不安全stream量 。 ) 在此先感谢,亚历克斯
这是关于我的问题的一些背景: 我有一个在Heroku上运行的Web服务,使用dynamicIP地址。 Heroku上的静态IP不是一个选项。 我需要连接到防火墙后面的外部Web服务。 操作外部Web服务的人员只能将其防火墙打开到特定的静态IP。 我尝试的解决scheme是在具有静态IP的单独服务器上使用Squid将来自Heroku的请求转发到外部服务。 这样,外部服务总是看到代理服务器的静态IP,而不是Heroku服务的dynamicIP。 由于我的代理服务器不能依靠IP地址进行身份validation(这是开始的问题!),它必须依靠用户名和密码。 此外,用户名和密码不能以明文forms传输,因为如果攻击者拦截了明文,他们可以连接到我的代理假装是我,使用我的代理的静态IP做出站请求,从而逃避外部Web服务的防火墙。 因此,Squid代理只能通过HTTPS而不是HTTP接受连接。 (与外部Web服务的连接可能是HTTP或HTTPS。) 我在CentOS 6.5.x上运行Squid 3.1.10,这里是我的squid.conf 。 仅出于故障排除的目的,我暂时启用了HTTP和HTTPS代理,但我只想使用HTTPS。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from […]