CONNECT 与 TLS 构建可治理边界

CONNECT 隧道机制

CONNECT 是 HTTP 协议中用于建立到目标主机与端口的隧道方法。客户端首先向出站节点发起 CONNECT 请求，指定目标域名与端口。隧道建立后，客户端与目标站点直接进行 TLS 握手，出站节点仅转发加密数据流，不解密内容 [6]。

端到端 TLS 保障

端到端 TLS 依赖客户端与目标站点完成密钥协商，我们不触达明文。可见范围仅限必要元数据：目标域名、端口、SNI、会话时长、字节计数与状态码。策略与审计基于元数据实施，内容保持加密，边界清晰 [7]。

三大核心收益

1. 隐私与合规：不读取内容，降低数据合规风险 [5]
2. 运维与可控：基于域名与端口下发精细策略，满足业务分层需求 [4]
3. 性能与稳定：连接复用与就近接入，减少 TLS 往返延迟 [3]