网络代理和虚拟主机是如何复杂的HTTPS？

Question

在研究HTTPS和相关传输层安全协议(SSL/TLS)时，我了解到HTTPS存在两个复杂问题-- Web-Proxy和Virtual-Hosting。

我可以理解虚拟主机是如何复杂的HTTPS。这是因为HTTPS (SSL或TLS)的底层传输协议为每个IP /端口组合颁发了单个证书，因此在实现HTTPS时，在单个IP上托管多个站点确实是一个问题。然而，我真的不明白Web代理是如何成为HTTPS的一个问题或复杂的？任何人请澄清这一概念。谢谢。

Answer 1

网络-代理

嗯，想看看我的水晶球。

Web代理通常不能缓存SSL连接内容，必须通过未更改的通信传递，并且不能在内容经过时查看内容。

这是因为以下原因造成的吗？

• 由于缺乏缓存，站点上的流量很高(可以通过调优缓存设置来缓解这种情况，从而使浏览器能够正确地缓存)。
• 由于缺乏缓存，你的网络代理的流量很高.购买更大的管道或代理。
• 无法看到您无法控制的远程网站的浏览器流量(可能是色情、病毒、数据外接)。
• 一个令人讨厌的解决办法是在您控制和解密的PC机中安装您的证书，并在您的工作人员的网关上重新加密通信量(您的工作人员与他们的远程网站之间的中间连接)。

Virtual-Hosting

请注意，对于使用单个IP地址和一个Apache安装的简单配置来说，这只是一个问题。其他配置包括：

• 适当的虚拟主机(Xen、VirtualBox、virtual等)具有自己的公共IP地址。
• 具有多个IP和一个或两个Apache实例的服务器正确配置。
• 反向代理配置，具有两个外部IP地址，重定向到运行在不同端口上的盒子上的不同HTTPS Daemons。
• HTTPS有一个扩展，它允许为这个用例提供多个SSL证书，我不知道它在服务器、代理和浏览器中实现得有多好。

Answer 2

当前浏览器支持SNI (服务器名称指示)，它在初始客户端hello中发送目标主机的名称。因此，在同一个IP上有不同的https服务器是可能的，而当前的http服务器支持这一点。非浏览器(工具和SSL库或各种语言的SSL接口)仍然存在问题。一些默认使用SNI，另一些则需要显式启用SNI，有些甚至不支持它。

我看不出web代理有什么问题:浏览器只是通过代理连接到目标主机，然后剩下的是普通的https，包括SNI。