Varför CONNECT-tunnling är säkrare än vanliga HTTP-proxies
Det finns en fundamental skillnad mellan hur en vanlig HTTP forward proxy och en CONNECT-tunnel hanterar din trafik. Den skillnaden avgör om din proxyleverantör kan läsa dina data eller inte.
Vanlig HTTP forward proxy
En forward proxy tar emot hela HTTP-requesten, inklusive headers, URL-sökväg och body. Proxyn kan inspektera, modifiera och logga allt innan den vidarebefordrar requesten till destinationen. Även om destinationen använder HTTPS kan proxyn agera som "man-in-the-middle" om den installerar ett eget CA-certifikat.
CONNECT-tunnling (det vi använder)
Med CONNECT-metoden (RFC 7231) skapar proxyn en transparent TCP-tunnel:
- Din klient skickar
CONNECT example.com:443 HTTP/1.1 - Proxyn öppnar en TCP-anslutning till example.com:443
- Proxyn svarar
200 Connection established - Din klient startar TLS-handshake direkt med example.com
- Proxyn vidarebefordrar krypterade bytes utan att kunna läsa dem
Resultatet: din TLS-session är end-to-end krypterad. Proxyn ser bara destinationens hostname (via SNI) och mängden data som skickas — aldrig innehållet.
Vad proxyapi.se ser
| Data | Kan vi se det? |
|---|---|
| Destination (hostname) | Ja (SNI) |
| URL-sökväg | Nej |
| Request/response-headers | Nej |
| Request/response-body | Nej |
| Bytes in/ut | Ja (för fakturering) |
| Timestamp | Ja (för driftsövervakning) |
Sammanfattning
Om din proxyleverantör inte använder CONNECT-tunnling har de teknisk möjlighet att läsa all din trafik. Med proxyapi.se är detta fysiskt omöjligt — din TLS-session går direkt mellan dig och destinationen.