Я использую прокси-службу, поэтому могу использовать только сквозную передачу TCP, иначе пользователи будут получать предупреждения о сертификатах.
К сожалению, в журналах tcp очень мало информации, и я хочу убедиться, что на сервере не происходит никаких незаконных действий.
Итак, вопрос - Можно ли пропускать HTTPS, одновременно расшифровывая Запросы хранить логи http?
Спасибо.
Есть два метода обмена ключами, которые используются с TLS (т.е. в HTTPS): обмен ключами RSA и Diffie-Hellman (DH).
При обмене ключами RSA теоретически возможно передать исходный трафик в зашифрованном виде, но при этом расшифровать содержимое, если клиенту известен закрытый ключ сертификата сервера. Но это не поддерживается haproxy, и обмен ключами RSA сегодня в любом случае считается устаревшей криптографией, поэтому лучше не использовать его.
При обмене ключами DH такое пассивное дешифрование контента невозможно по замыслу.
Вместо этого возможно и поддерживается haproxy, так это разорвать клиентское TLS-соединение на haproxy и создать другое соединение от haproxy к целевому серверу. Для этого haproxy должен иметь как сертификат, так и закрытый ключ сервера. Это не сработает, если требуется взаимная аутентификация, поскольку haproxy не может передать исходный сертификат клиента на сервер, поскольку у haproxy нет закрытого ключа для сертификата клиентов.