关于 HTTPS SNI 信息修改的问题

2015-05-23 02:13:53 +08:00

LGA1150

现在有两种情况：
1：某软件/浏览器不支持SNI，访问一些HTTPS网站出现证书错误
2：防火墙以SNI白名单方式限制HTTPS链接，用支持SNI的浏览器访问在白名单外的网站被RESET

现在，我能否通过劫持HTTPS Header并添加/修改/移除：所有/指定IP 的SNI信息，来解决以上问题？

如果能，该使用什么软件？

3118 次点击

所在节点

HTTP

11 条回复

nbndco

2015-05-23 07:26:37 +08:00

如果header有用怎么会有sni

LGA1150

2015-05-23 10:07:57 +08:00

@nbndco
你的意思是SNI不在Header里？
我只想知道SNI信息能不能被中间人修改

nbndco

2015-05-23 10:17:02 +08:00

@LGA1150 不在。不需要中间人，本地跑一个支持sni的代理就好。不过问题2无解

wy315700

2015-05-23 11:39:50 +08:00

@LGA1150 SNI不在Header里,SNI是SSL建立连接的时候传的，而Header是建立以后发的

LGA1150

2015-05-23 12:04:36 +08:00

@nbndco 有什么软件可以实现？

nbndco

2015-05-23 13:40:49 +08:00

@LGA1150 随便一个代理一般都支持sni，搜一下常用代理看看支不支持sni就好

LGA1150

2015-05-23 18:01:52 +08:00

@nbndco 我不需要代理

nbndco

2015-05-23 18:32:32 +08:00

@LGA1150 你本机跑个代理，请求发给代理，代理用sni连接到你想访问的站点。

nbndco

2015-05-23 18:33:39 +08:00

@LGA1150 是让你本机跑代理

LGA1150

2015-05-23 19:52:18 +08:00

@nbndco 了解，那需要用什么软件做代理服务器，并添加对特定IP的SNI？

nbndco

2015-05-23 20:11:51 +08:00

@LGA1150 代理服务器支持SNI的话访问所有HTTPS都会发SNI的。不知道有什么东西可以选择性的发送SNI，或许你可以自己实现一个……

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/193121

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.