Вопрос: Какое влияние трафик https на прокси-серверы веб-кэша?


Я просто взял два университетских курса по компьютерной безопасности и интернет-программированию. Я думал об этом на днях:

Прокси-серверы веб-кэширования кэшируют популярный контент с серверов в Интернете. Это полезно, например, если ваша компания имеет сетевое соединение 1 Гбит / с внутри (включая прокси-сервер веб-кэша), но только подключение 100 Мбит / с к Интернету. Прокси-сервер веб-кэширования может быстрее кэшировать содержимое других компьютеров в локальной сети.

Теперь рассмотрим TLS-зашифрованные соединения. Может ли зашифрованный контент кэшироваться любым полезным способом? Есть большая инициатива от letencrypt.org, цель которой - сделать весь интернет-трафик зашифрованным по SSL по умолчанию. Они делают это, делая его действительно легким, автоматизированным и бесплатным для получения сертификатов SSL для вашего сайта (начиная с лета 2015 года). Учитывая текущие годовые затраты на сертификаты SSL, FREE действительно привлекателен.

Мой вопрос: будет ли трафик HTTPS в конечном итоге сделать прокси-серверы веб-кэша устаревшими? Если да, то что будет зависеть от нагрузки глобального интернет-трафика?


14
2017-12-25 22:08


Источник


Существует доверенная коммерческая компания, которая в течение нескольких лет предлагала бесплатные сертификаты для домена и одного поддомена. Хотя я очень ценю усилия проекта Let's Encrypt, особенно, насколько легко они хотят это сделать, хорошая карма, которую я чувствую, что Startcom породила, должна быть признана. - Paul
Этот вопрос почти читается как реклама на данный момент со ссылками на Let's Encrypt. - fukawi2
@Paul StartCom продан компании WoSign, которая имеет задние сертификаты в нарушение базовых требований. - Damian Yerrick
@DamianYerrick Мне очень жаль, что я разочаровал вас своим отсутствием ясновидения. (Комментарий остался до открытия Mozilla). - Paul
Возможный дубликат Есть ли способ кэшировать HTTPS-запросы на прокси-сервере? - Dan Dascalescu


Ответы:


Да, HTTP-сервер будет заслонять сетевое кэширование.

В частности, поскольку кеширование HTTP требует выполнения человеком атаки среднего типа - замена SSL-сертификата на сервер кэша. Этот сертификат должен быть создан «на лету» и подписан местным органом власти.

В корпоративной среде вы можете доверять всем компьютерам сертификаты кэш-сервера. Но на других машинах будут выдаваться ошибки сертификата - что им нужно. Злонамеренный кеш может легко изменять страницы.

Я подозреваю, что сайты, которые используют большую пропускную способность, например потоковое видео, будут по-прежнему отправлять контент по регулярному HTTP, чтобы его можно было кэшировать. Но для многих сайтов лучшая безопасность перевешивает увеличение пропускной способности.


14
2017-12-25 22:14





Даже жесткий HTTPS-трафик не может быть проксирован в строгом смысле (потому что, в противном случае, прокси-программное обеспечение будет действовать как "человек посередине», что является одной из причин того, что SSL был разработан для избежать), важно отметить, что обычные прокси-серверы (например, SQUID) могут правильно обрабатывать HTTPS-соединения.

Это возможно благодаря МЕТОД ПОДКЛЮЧЕНИЯ HTTP, что СКВИД правильно реализует, Другими словами, для любого HTTPS-запроса, который получает прокси-сервер, он просто «ретранслирует» его без какого-либо вмешательства в encapsuled, enncrypted traffic.

Даже если вначале это звучит бесполезно, это позволяет локальным клиентам / браузерам настроить на прокси-сервер и в то же время разрезать любые формы подключения к Интернету.

Итак, вернемся к вашему первоначальному вопросу: "будет ли трафик HTTPS в конечном итоге сделать прокси-серверы веб-кэша устаревшими?», мой ответ:

  • ДА: если вы полагаетесь на веб-прокси только с точки зрения кэширования;
  • НЕТ: если вы полагаетесь на веб-прокси для вещей, отличных от кеширования (например: аутентификация пользователей, регистрация URL-адресов и т. д.).

PS: аналогичная / серьезная проблема с HTTPS связана с многопоточным виртуальным хостом на основе имен, который распространен в решениях для веб-хостинга, но ... становится сложным при работе с сайтами HTTPS (я не обсуждаю подробно, потому что это не связано с этим вопросом).



3
2017-12-26 11:01



прокси не может выполнять протоколирование HTTPS по URL-адресу, поскольку URL-адреса также зашифрованы (имя хоста может быть незашифрованным при использовании SNI, но остальная часть URL-адреса всегда зашифровывается) - Markus Laire


https поражает некоторые виды безопасности, которые ранее были реализованы в прокси. Учтите, что кальмар может перехватывать и заменять страницу локальным контентом (функция, которую я использую довольно много). Я использовал, чтобы поймать ссылки из поисковых запросов Google и перенаправить свой прокси-сервер прямо на ссылку, тем самым увеличивая мою безопасность, не разглашая, какие ссылки я (или кто-либо еще из моей локальной сети, которые решили использовать прокси-сервер), затем следуют в Google. Используя https, Google разгромил этот аспект моей безопасности (который, конечно же, был человеком в средней атаке). Теперь мне придется взломать код браузера, что еще больше усиливает ... и недоступно для других пользователей в домашнем хозяйстве, если они также не готовы запускать локально взломанные браузеры.


0
2018-01-22 13:09