这是一个创建于 2886 天前的主题,其中的信息可能已经有所发展或是发生改变。
众所周知,HTTPS 流量对观察者来说是完全加密的内容,那么 cf 是如何甄别不同域名的连接的呢?是通过 TLS handshake 的证书获取域名等信息?之后的转发又如何实现的呢?客户端肯定不会额外支持 HTTP CONNECT 形成的隧道,而且 cf 也采用的不支持 connect 操作的 nginx 进行反向代理
 | 1 also24 2017-11-15 23:04:06 +08:00  1 |
 | 2 Lentin 2017-11-15 23:04:15 +08:00 sniproxy |
 | 3 ryd994 2017-11-15 23:09:37 +08:00 via Android 1 |
 | 4 ewBuyVmLZMZE 2017-11-15 23:15:35 +08:00 via iPhone 这块涉及到 Openresty,ssl_certificated_By_lua |
| 5 also24 2017-11-15 23:28:02 +08:00 1 @ryd994 #3 不确定是楼主描述问题还是别的地方出了差错…… 我感觉你在描述的是: CDN-浏览器 间之所以能在不持有源站的 https 证书的情况下,就建立起 https 连接。 是因为 Cloudflare 持有相应域名的管理权( or cname 这种变相管理权),于是 Cloudflare 可以申请到相应的 DV 证书,从而建立连接。 而我和 @Lentin #2 说的 SNI 所解决的问题是: 在 Cloudflare 的同一台 CDN 节点上,可能同时有多个客户的域名指向这台机器。 那么机器上的 “ CDN 程序” 是如何在 TLS 握手之前,就判断出丢给自己的请求,是针对哪个域名,从而选择相应的 TLS 密钥 /证书 。 |
| 6 Lentin 2017-11-15 23:29:46 +08:00 1  看看证书大体就知道了吧…… |
 | 10 LanFomalhaut 2017-11-15 23:33:52 +08:00 1 那么 cf 是如何甄别不同域名的连接的呢?是通过 TLS handshake 的证书获取域名等信息? [SNI] 之后的转发又如何实现的呢? 访客-(HTTPS)-节点(为节点上的证书 节点自然可以解密请求的数据) - 源服务器(是否开启 SSL 均不影响) |
 | 11 gamexg 2017-11-15 23:34:57 +08:00 1 https://blog.cloudflare.com/introducing-universal-ssl/ > 那么 cf 是如何甄别不同域名的连接的呢?是通过 TLS handshake 的证书获取域名等信息? 是的, 排除 windows xp+ie/chrome 之外的环境都支持 SNI,ssl 握手包内包含了域名,cf 可以直接得到。 > 之后如何进行的? cloudflare 给每个网站签发了 ssl 证书,然后直接用自己的证书回应浏览器即可。网站服务器本身有没有 ssl 只是影响 cf 回源时是否使用 https。 另外 cloudflare 还提供使用客户证书的功能,但是需要付费。 |
 | 14 feast OP |
| 16 Lentin 2017-11-15 23:47:50 +08:00 1 如图  |
 | 18 dndx 2017-11-16 04:22:43 +08:00 CF 不支持 TLS 的透明代理。 |
Select Language