[原创]翻墙firefox : gappproxy https 免去证书对话框.

话说我在隔壁发了个技术贴可惜应者寥寥..... 这里发一个看看...

看最近 GAppProxy 更新了, 顺手给它打个补丁.

你需要以下工具:
python2.6+ 必须, 最好是2.7 (http://www.python.org/)
openssl 0.9.8+ (http://www.openssl.org/)
GAppProxy src (http://code.google.com/p/gappproxy/)
注意由于我是修改了GAppProxy的源码而实现的,
所以要享受此功能必须要有Python(也就是exe版暂时享受不到了)

声明及严重警告:
本文出于技术学习与交流目的发布.
其实现具有严重的安全风险, 请不明相关原理者谨慎使用.
由此产生的损失, 请自行承担, 本人概不负责.

正文:
由于天朝GFW的存在, 现在上个外国网站时不时就是无响应, 连接重置之类, 所以翻墙软件是必备工具.
公认最强的翻墙利器是TOR, 安全性最强, 抗干扰强, 抗攻击能力极强, 但是速度慢.
国内流行的GAppProxy, 使用Google的GAE平台提供自建服务器.
速度快,安全性无, 抗攻击弱, 抗干扰为零(UA都变了还谈啥干扰),正好与TOR互补.

用GAppProxy就是要它的速度, 安全性是其次, 所以每次添加证书很让人不胜其烦.
(提醒:一个正常的浏览器必须要这样步骤, 这是严重的安全风险, 必须得到用户的确认)
本方法通过自建CA对GAppProxy的HTTPS内容进行认证, 从而达到欺骗浏览器而免去证书提示的目的.

实现步骤:
1.建立GAppProxy的运行环境(略).

2.下载openssl,将openssl加入PATH, 并为系统添加环境变量 OPENSSL_CONF = .\openssl.conf
win下, openssl官方只有源码可下, *nux应该有自带的.
附件的openssl.rar 是我编译的openssl1.0.0a debug-VC-WIN32, 配置文件是 cygwin 的.
PS: 最好是将 openssl.exe openssl.conf 放到 system32 目录, 自己上网下的记得下配置文件.

3.下载附件patch.rar 并解压到 localproxy 目录 (proxy2.py 应该和 proxy.py 在同一个目录)
导入 ssl2 目录的 _ca.cert 到 "证书机构" (工具-选项-高级-加密-查看证书-证书机构-导入)
执行 proxy2.py 启动 GAppProxy (exe版GUI里的那些设置在proxy.conf里)

另: 为了提示安全风险, 已修改proxy2.py 使用低加密方式建立连接以提醒浏览器(需要Python2.7),
firefox 的about:config 中需要设置 security.ssl3.rsa_des_sha 为 true
并应用以下CSS: #urlbar[level="low"]{background:rgba(255,192,192,0.<!-- s8) --><img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /><!-- s8) -->!important;}
如果是Python2.6.x , 须到 proxy2.py 中 删除{, ciphers="LOW" }(无花括号)

又: 默认已经禁止了mail.google.com经过GAppProxy, 以免全局启用的时候去访问gmail.

再次提醒:
GAppProxy 实现HTTPS 和TOR 之流不同, 其本质上是MITM攻击, HTTPS相当于HTTP, 没有任何的安全性.
所以千万不要在网银, 邮件之类高安全需求的HTTPS站点开启GAppProxy.
 
由于本压缩包的内容任何人皆可获得,
为了防止不良网站使用其中的SSL证书实行欺骗,
强烈建议自己再生成一份替换掉原有的证书文件(_server.key,_ca.key,_ca.cert).
(执行generateCerts.bat, 或者懂得用openssl 的话自己生成)
用生成的文件替换 ssl2 目录下的同名文件.
同时删除 ssl2 目录下所有不是以 _ 开头的 .cert 文件.

卸载:
从"证书机构中" 删除 fakeCA 项目.

最后再声明:
本方式有严重的安全风险, 如果不明原理请谨慎使用.
它将导致任何经过GAppProxy 的HTTPS站点在网络上传输的内容却是HTTP, 却在表面上看不出异常.

话说: 怎么上传附件?! 点新增毫无反应.

楼主可以试试wallproxy，解决了gapp的证书警告和许多其它问题；
功能也比gapp强大很多。

   不过GAppProxy只支持80和443端口（其他端口网站无法代理），只支持HEAD、GET、POST方法（GAE支持的PUT、DELETE没被支持），不能上传二进制文件如图片（Twitter头像无法更新），不能断点续传（大文件下载一半被中断后需要重新下载），只能架在GAE上（GAE的DELETE方法不完整，因而从Twitter的List中删除某人是用基于GAE的代理无法实现的)，HTTPS会弹出证书无效的警告，也不节约流量和API调用。

    自己动手，解决问题。基于GAppProxy，旨在解决以上不足的WallProxy因此产生。WallProxy支持更多端口，服务端有GAE版和PHP版。客户端可以同时设置多个服务端，推荐的设置是大流量快速度的GAE作首选，随便找个可以令WallProxy运行的免费PHP空间作备选以弥补GAE的DELETE缺陷。WallProxy还改进了上传、下载使得支持上传文件（包括二进制文件）、断点续传、更稳定、更节约流量和API调用。同时还支持生成根证书并签名子证书，将生成的根证书ca.crt导入到浏览器根证书机构后即可不再弹出证书无效的警告；支持类PAC代理规则并可中转其他代理，为提供了代理设置但不提供代理选择的程序提供智能代理选择功能。

上传不了openssl. 不管了

话说一开始有GAppProxy的时候我就给它打了补丁, 然后用得很舒服, 以至于都不知道有更好的东西出现.....

这次svn上发现新版本于是顺手打的补丁

alanfly：楼主可以试试wallproxy，解决了gapp的证书警告和许多其它问题；
功能也比gapp强大很多。
回到原帖

一直用这个。。。。

多点一下证书 也没啥关系吧··

不知道freeeegaterrr的安全性如何啊，看你们这么折腾

最近我自建的gap服务器怎么失效了？怪事。

我想应者寥寥可能是因为大多数人都看不懂技术贴吧，对我们这样的菜鸟来说 Hack 那些技巧的确有点难，我们一般喜欢那种拿来就能用的uc脚本。  

我也有和前面同样的困惑。现在基于 Google App Engine 的翻墙工具有很多，我最早是用 gappproxy，但是 gappproxy 久不更新，后来看见 fcicq 搞了个 gappproxy2 就转用 gappproxy2，不过这个好像用的人并不多（fcicq 貌似比较低调），后来决定用 WallProxy。没想到 gappproxy 时隔一年居然又开始更新了，有谁知道这几个到底哪个最好用呢？我现在就在犹豫要不要从 WallProxy 回归 gappproxy。

@ LS
因为很多人早已解决proxy问题
花些钱买个vpn一劳永逸

vpn 的确方便。可是有个问题就是开了 vpn 后 utorrent 和 emule 就没法用了，gappproxy 的好处是不会影响其它的软件。

pptpclient+route
很容易解决问题
将你想访问的被墙的网站的IP，加入pptp建立的路由即可
其他仍然走的普通线路
http://wiki.archlinux.org/index.php/Mic ... ork_Config

这个看起来不错，正是我想要的，有空研究研究，多谢楼上。

貌似是 *uix 下的...

话说我又把 wallproxy 给 patch 了
现在在加载 12000 条规则测试 , 目前感觉良好.

每个url 测试耗时 7ms, 规则15000条, 2000条正则规则, 执行得比abp 还快....
性能太好, 本来想再加一层 cache 的看起来都不用了.

好像的确是 linux 的…… -.-

话说 wallproxy 不是提供了一个 ca.crt 吗，为什么还要 patch 呢？或者是 patch 了别的方面？不妨放出来给我们用用吧。