通过 https 访问时出现 SSL 错误的透明代理

Question

在我的公司环境中，有一个透明代理需要凭据才能访问互联网（每四个小时一次）。在我的应用程序中，我成功传递了这样的凭据：

var client = new WebClient();
client.Credientals = new NetworkCredential("username", "password");
string result = client.DownloadString("http://...");
// this works!

但是，当我的初始请求是对“https://”网址时，会抛出异常：“底层连接已关闭：无法为 SSL/TLS 安全通道建立信任关系。”

现在我目前的工作是：

• 捕获访问“https://”url时抛出的WebException
• 将我的凭据添加到对任意“http://”站点的新请求
  • （这应该“打开”互联网四个小时的窗口）
• 返回并重试“https://”请求

我想知道是否有更好/更清洁的方法来做到这一点？

Answer 1

您现在使用的是带有身份验证的 HTTP 代理。到现在为止还挺好。但它不适用于 HTTPS 请求，原因如下：

SSL/TLS 是端点安全。这意味着数据必须通过单个加密通道在客户端和服务器之间发送。

当您连接到 HTTP 代理时，您告诉它“获取远程资源并将其发送给我”，这与端点安全性相矛盾。在这里，您没有与远程服务器的直接连接，也无法验证其凭据。代理还可以窥探您的数据。

一般来说，可以使用 HTTPS 连接到常规 HTTP 代理，或者可以要求 HTTP 代理访问 HTTPS 资源，但这会破坏安全原因，在这两种情况下客户端无法验证服务器的凭据，而 HTTP 代理可以记录或更改正在传输的数据。

HTTPS 代理以不同的方式工作。在这里，您告诉 HTTPS 代理服务器“连接到远程地址，然后只重新发送通过的任何内容”。通过这种方式，代理在客户端和服务器之间创建了一个不透明的安全通道，从而保护了端点安全。实际上，HTTPS 代理可用于传输任何流量，不一定是 SSL。

因此，您需要通过发送 CONNECT 请求（包括您的身份验证）来建立隧道，然后通过同一通道发送常规 HTTP GET（URL 中没有主机/地址） - 此请求将发送到目标服务器，不给代理。

我非常怀疑您的 WebClient 是否可以在发送请求之前建立隧道。作为一个选项，您可以使用我们 SecureBlackbox 产品的 HTTPBlackbox 包，它允许您访问 HTTP 和 HTTPS 资源，并支持带有身份验证的 HTTPS 代理（在 SecureBlackbox 中称为 WebTunneling）。