透明代理在通过https访问时出现SSL错误

Question

在我的公司环境中，有一个透明代理需要凭证才能访问互联网（每四小时）。在我的应用程序成功通过的凭据是这样的：

var client = new WebClient(); 
client.Credientals = new NetworkCredential("username", "password"); 
string result = client.DownloadString("http://..."); 
// this works! 

然而，当我INTIAL请求是一个“https：//开头的” URL，有一个异常抛出：“基础连接已关闭：无法建立信任关系为SSL/TLS安全通道。“

现在我目前的解决办法是：

• 渔获引发WebException抛出访问时“https：//开头的” URL
• 添加我的凭据到一个新的请求到任意的“http：// “网站
  • （这应该‘开放’互联网四小时的窗口）
• 回去再试试‘https：//开头’请求

我想知道是否有更好/更清洁的方法来做到这一点？

Answer 1

你现在使用的是一个带有认证的HTTP代理。到现在为止还挺好。但它不适用于HTTPS请求，原因如下：

SSL/TLS是端点安全性。这意味着必须通过单个加密通道在客户端和服务器之间发送数据。

当您连接到HTTP代理时，您告诉它“获取远程资源并将其发送给我”，这与端点安全性相矛盾。在这里，您没有直接连接到远程服务器，并且无法验证其凭证。代理也可以窥视你的数据。

通常，可以使用HTTPS连接到常规HTTP代理或者可以要求HTTP代理访问HTTPS资源，但是这会破坏安全原因，在这两种情况下，客户端无法验证服务器的凭据和HTTP代理可以记录或更改正在传输的数据。

HTTPS代理以不同的方式工作。在这里，您可以告诉HTTPS代理服务器“连接到远程地址，然后只重发任何传递的内容”。这样，代理就会在客户端和服务器之间创建一个不透明的安全通道，从而保护端点安全。实际上，HTTPS代理可用于隧道传输任何流量，而不一定是SSL。因此，您需要通过发送CONNECT请求（包括您的身份验证）来建立隧道，然后通过同一通道发送常规HTTP GET（URL中没有主机/地址） - 此请求将转到目标服务器，而不是代理。

我很怀疑您的WebClient可以在发送请求之前建立隧道。作为一种选择，您可以使用我们的SecureBlackbox产品的HTTPBlackbox包，它允许您访问HTTP和HTTPS资源，并且支持HTTPS代理（在SecureBlackbox中称为WebTunneling）和身份验证。