请问 https 代理的 CONNECT 部分也是加密的吗？

昨天在一台 vps 上搭了一个 https 代理，使用的是 squid3+stunnel4 ，用的 StartSSL 的证书。

但是却发现通过这个代理访问一般的网站是没问题的，包括 Telegram 的 TCP 请求也 ok ，但是谷歌等被墙站点仍然无法访问，看 Surge 的记录发现卡在了 establish connection 这一步，完全没有数据交换。

百思不得其解，查了一些资料，说是 https 代理的 CONNECT 请求是不加密发送给代理服务器的，但是这个本身不应该跑在 TLS 的隧道里吗？

ZRS

2016-08-24 00:19:49 +08:00

开始还以为是我的配置问题，折腾到半夜。后来换成 spdyproxy 这个工具搭建，还是一样的结果...

neilp

2016-08-24 00:22:20 +08:00

connect 发生在简历 tls 通道之前啊先告诉代理你要连谁，然后代理才能转发 tcp 数据啊之后才是 tld 连接建立

ZRS

2016-08-24 00:25:52 +08:00

@neilp 不是先和代理握手建立隧道然后再进行下一步的工作吗...而且我看也有人用 https 代理科学上网呀...

ranran

2016-08-24 01:23:54 +08:00

@ZRS
看了这个贴感觉和你理解差不多所有数据都应该通过 spdy 加密。

http://www.oschina.net/question/12_117516

实际情况建议你抓包看看是否发的明文 CONNECT

gamexg

2016-08-24 08:23:36 +08:00

如果你的却是 https 代理，那么所有的内容都是加密的。
非 http2 可以看作在 http 协议外面套了一层 tls 。

然后 https 代理并不可靠， CONNECT 连接 https 站点存在明显的流量特征，是可以被探测到的。
http://blog.zorinaq.com/my-experience-with-the-great-firewall-of-china/

ZRS

2016-08-24 09:47:44 +08:00

@ranran
我看 HTTPS URL via SPDY 这个部分还是
*** Client sends CONNECT request to Proxy via SPDY ***呀
和远程服务器的握手是加密的吧？

@gamexg 嗯，这篇文章我也看了，但是只是针对 TLS 里的 TLS 握手请求的特征识别呀，我遇到的情况是精准的识别了所有黑名单然后阻断了...

@wql 能说详细一点嘛？这个请求不是加密的？

fangdingjun

2016-08-24 10:09:20 +08:00

这种架构 client--------tls------->proxy------------->target
如果配置正确，可以访问任何网站

有问题,检查一下 squid 日志，我之前遇到过 squid 连不上 google 的 ipv6 地址直接返回 503

nvidiaAMD980X

2016-08-24 10:52:22 +08:00

我发现我也有和 LZ 一样的问题，应该是你所处的地区被审查得厉害，换个地区，或许就没有问题了。
我在老家死活都是卡在 connecting 阶段…………换了一个地区，就没事了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/301344

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.