关于apache做forward https proxy的问题，求教

首先说下最近对https proxy的一些了解,其实https proxy并不是一个正确的定义，而在我这个上下文，我把https proxy定义为
client ssl封装 -> proxy server 解密 -> dst host
其核心还是纯 http proxy 请求，但里面的内容在client到proxy中经过ssl封装

最近用squid改改配置的确实现了这个forward proxy,里面内容大概为（我知道有人会叫我贴的;D
acl CONNECT method CONNECT
http_access deny all
https_port 53 cert=best5.crt key=best5.key cafile=best5.crt

本地用 stunnel ，这样的确能跑起来，速度嘛，感觉不咋的，貌似是因为cache没开启的原因？看youtube 也卡。但我能确定不是ssl解密为主要原因（因为下面用 apache 同样做 ssl 加密的时候是很流畅的），注意，这里的squid做出的代理能访问 dst host 为 https 的。（疑问1：这是因为支持 connect么？）

然后我就像用 apache 来实现，这样服务器就不用装 squid 这样的大头了。然后我的配置如下
ProxyRequests ON
AddDefaultCharset Off
ProxyVia Off
SSLEngine on
SSLCertificateFile /etc/httpd/ssl/lidongbest5.crt
SSLCertificateKeyFile /etc/httpd/ssl/lidongbest5.key
SSLProtocol all
SSLCipherSuite HIGH:MEDIUM
是的，client 端仍然用stunnel，然后经过各种测试，我发现youtube，各种被墙的 http 网站均能上了，可是 twitter / facebook 仍然不能上。难道是因为不能用 https 的原因吗？我访问 gmail 仍然是杠杠的。有朋友说 dns 污染什么的，我用 ncat --ssl 却是能访问的
➜ ~ ncat -v --ssl 不告诉你 53
GET http://facebook.com HTTP/1.0

HTTP/1.1 302 forced.302
Date: Fri, 24 Jan 2014 04:56:48 GMT
Location: http://www.facebook.com/unsupportedbrowser
Content-Type: text/html; charset=utf-8
X-FB-Debug: 4fL3rJ6Scx76Vbtlqi/bXz7Z4G2/n5ZGob9jCT2QmS0=
Content-Length: 0
Connection: close
然后我实在是没招了，说了那么多貌似有点凌乱，总结出来就是 apache 配出来的 https 代理不能访问被墙的 https 网站，原因是为甚麽呢？
另外还有一个问题是，chrome中的 switchsharp 中，https代理是什么意思呢？我测试过不能直接连着ssl端口用。。。

julyclyde

2014-01-25 09:42:05 +08:00

第一段写的那个东西叫 SSL offloader，该服务器和网站之间是HTTP的（注意不是强调未加密，而是强调网站那边会“认为”自己被HTTP而非HTTPS访问）
而你用squid实现的叫支持HTTPS的proxy，也就是支持CONNECT的proxy，客户端的加密数据流经过代理服务器转发到达网站服务器，网站会认为自己被HTTPS访问
完全是两个东西

你后面那一段配置我看不太懂，因为一直比较抵制Apache（Proxy和Rewrite模块界限不够明显，设计得不干净），没好好学习过
但看后面的302回应，应该是facebook不允许“被HTTP访问”所以主动302给你的。你需要的是一个支持CONNECT的proxy

g0t3n

2014-01-25 10:21:11 +08:00

@julyclyde 感谢你的提醒，我忽然想起 http 代理有两个例子就是 GET http://www.baidu.com 和 CONNECT tunnel，如此看来难道是我配置的 apache proxy 并没有用到 mod_proxy_connect 所以才会发生这样的情况？今天我继续折腾折腾。
另外，squid 的 https 代理应该就是您所指的 SSL offloader 的一个特例了，只是里面传输的数据是 http 请求，应该是这样理解把，又学到一个名词了