网络代理的安全性有几种不同的方法:
没有安全保障。客户端使用HTTP连接到代理,发出GET请求(代理可能使用HTTP到达目的地)。
HTTPS连接到代理,然后是GET请求。仅在代理和客户端之间加密。
HTTP代理,CONNECT隧道到目的地(以明文命名的主机),让客户端HTTPS到目的地。安全方面,似乎等同于直接HTTPS。
HTTPS代理,CONNECT隧道到目的地,然后HTTPS到目的地。 (例如,即使目标主机名元数据也不能在不受信任的本地网络上被窃听,例如公共wifi。)
我的问题是关于最后的案例。是否有描述它的标准或RFC?
内容是否必须进行双重加密?也就是说,在客户端,代理是否应该在CONNECT建立后简单地转发原始数据流(无需操作),还是应该继续应用其(现在冗余的)安全包装器?