说到HTTPS代理很多人瞬间就会联想到HTTPS的各种证书和各种加密，觉得很高端很复杂的样子。其实不然，代理服务器不需要配置证书、也不需要处理任何加密。因为HTTPS代理是通过Web隧道(Web tunnel)工作的。

Web隧道允许用户通过HTTP连接发送非HTTP流量(例如FTP，Telnet，SMTP)，这就使得那些使用非HTTP协议的应用程序可以通过HTTP代理工作了。你现在应该就明白了为什么QQ可用设置使用HTTP代理工作。Web隧道这么强大，但它并不复杂。

Web隧道是用HTTP协议的CONNECT方法建立起来的。CONNECT方法不是HTTP/1.1核心规范的一部分，但确是一种得到广泛应用的扩展。客户端通过CONNECT方法请求代理服务器创建一条到达任意目的服务器和端口的TCP链接，代理服务器仅对客户端和服务器之间的后续数据进行盲转发(只是转发，不关心、也不懂发送的内容是什么)。

建立Web隧道的详细步骤如下：

1) 客户端通过HTTP协议发送一条CONNECT方法的请求给代理服务器，告知代理服务器需要连接的主机和端口。

例如：

CONNECT www.alipay.com:443 HTTP/1.1

User-agent: Mozilla/5.0

在本例中客户端通过CONNECT方法请求代理服务器打开一条到www.alipay.com主机443端口的TCP链接。

2) 代理服务器一旦建立了和目标主机(上例中的www.alipay.com:443)TCP连接，就会回送一条HTTP 200 Connection Established应答给客户端。

例如：

HTTP/1.1 200 Connection Established

Poryx-Agent: Squid/3.2

3) 此时隧道就建立起来了。客户端通过该HTTP隧道发送的所有数据都会被代理服务器(通过之前建立起来的与目标主机的TCP连接)原封不动的转发给目标服务器。目标服务器发送的所有数据也会被代理服务器原封不动的转发给客户端。注意：是原封不动的转发，代理服务器并不需要知道内容的含义，也不会尝试去对内容进行解析。

http://www.site-digger.com/html/articles/20151203/107.html