代理HTTPS沒有nginx的證書

Question

是否可以設置nginx，以便它在不解密的情況下代理HTTPS連接？ 我說的是這樣的：

server { 
    listen 443 ssl; 
    server_name example.com; 
    location/{ 
     proxy_pass  https://localhost:8000; 
     proxy_set_header X-Real-IP $remote_addr; 
    } 
} 

我知道，nginx的最有可能將需要一個證書來添加X-實時IP報頭，但我可以重新加密代理？

我的動機是，我想將流量傳遞給啓用了SPDY的節點應用程序。但是爲了能夠在Node中使用SPDY，我需要解密才能駐留在應用程序中。

Answer 1

你在問關於MTIM attack，這實際上是TLS試圖阻止的。

Answer 2

不，這是不可能的。 Nginx將不得不使用Host標頭來匹配此服務器塊的server_name。在不解密請求的情況下，nginx甚至不知道請求頭信息。所以這個服務器塊甚至不會被匹配。

Nginx 1.4+還支持SPDY。 http://nginx.org/en/docs/http/ngx_http_spdy_module.html。但是，它不支持服務器推送。如果你不需要服務器推送，爲什麼不直接在nginx級別終止SSL？