关于 HTTPS SNI 信息修改的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› httpbin - 协议调试工具

› httpstatuses - 协议状态码查询

› httpie - cURL-like tool for humans

Fiddler

这是一个创建于 3262 天前的主题，其中的信息可能已经有所发展或是发生改变。

现在有两种情况：
1：某软件/浏览器不支持SNI，访问一些HTTPS网站出现证书错误
2：防火墙以SNI白名单方式限制HTTPS链接，用支持SNI的浏览器访问在白名单外的网站被RESET

现在，我能否通过劫持HTTPS Header并添加/修改/移除：所有/指定IP 的SNI信息，来解决以上问题？

如果能，该使用什么软件？

SNI

修改

名单

11 条回复 • 2015-05-23 20:11:51 +08:00

nbndco

2015-05-23 07:26:37 +08:00 via iPhone

如果header有用怎么会有sni

LGA1150

2015-05-23 10:07:57 +08:00 via Android

@nbndco
你的意思是SNI不在Header里？
我只想知道SNI信息能不能被中间人修改

nbndco

2015-05-23 10:17:02 +08:00 via iPhone

@LGA1150 不在。不需要中间人，本地跑一个支持sni的代理就好。不过问题2无解

wy315700

2015-05-23 11:39:50 +08:00

@LGA1150 SNI不在Header里,SNI是SSL建立连接的时候传的，而Header是建立以后发的

LGA1150

2015-05-23 12:04:36 +08:00 via Android

@nbndco 有什么软件可以实现？

nbndco

2015-05-23 13:40:49 +08:00 via iPhone

@LGA1150 随便一个代理一般都支持sni，搜一下常用代理看看支不支持sni就好

LGA1150

2015-05-23 18:01:52 +08:00 via Android

@nbndco 我不需要代理

nbndco

2015-05-23 18:32:32 +08:00 via iPhone

@LGA1150 你本机跑个代理，请求发给代理，代理用sni连接到你想访问的站点。

nbndco

2015-05-23 18:33:39 +08:00 via iPhone

@LGA1150 是让你本机跑代理

LGA1150

2015-05-23 19:52:18 +08:00 via Android

@nbndco 了解，那需要用什么软件做代理服务器，并添加对特定IP的SNI？

nbndco

2015-05-23 20:11:51 +08:00

@LGA1150 代理服务器支持SNI的话访问所有HTTPS都会发SNI的。不知道有什么东西可以选择性的发送SNI，或许你可以自己实现一个……