这可能吗? 我的理解是这样的: 非代理感知客户端将直接与侦听器协商SSL,而不是每次发送CONNECT请求以识别目标主机。透明代理需要目标主机才能使用客户端的主机名伪造证书。
我读过某些浏览器支持客户端问候消息中的“server_name”扩展名,该扩展名将标识目标主机,如果存在扩展名,则可以完成此操作。但是,我不知道哪个浏览器支持此扩展名。
我认为这应该是可能的,但到目前为止我使用鱿鱼和打嗝的努力都没有成功。
我知道在初始连接阶段无法获取目标主机,但我认为使用正确的配置可以在初始阶段允许转发连接然后捕获返回的证书以便读取然后,目标可以使用从合法证书派生的主机名注入代理自己的CA签名证书。
我认为让这项工作最好的选择(如果可能的话)是使用squid的bump-server-first方法http://wiki.squid-cache.org/Features/BumpSslServerFirst
我很想知道是否有人成功地将其付诸实践。