Есть ли способ кеширования HTTPS-запросов на прокси-сервере?

В нашей среде мы используем прокси-сервер Squid и хотим кэшировать HTTPS-запросы.

Есть ли способ настроить Squid или вообще прокси-сервер для кеширования HTTPS-запросов?

Есть способ сделать это, но это принципиально против причин использования HTTPS.

Вот как ты это сделаешь.

1. Создайте самозаверяющий сертификат SSL для сайта, который вы хотите перехватывать и кэшировать запросы.
2. Установите и запустите на своем прокси-сервере stunnel, сообщив ему, что сертификат, который он должен предоставить, сгенерирован на этапе 1.
3. Пусть Stunnel отправит расшифрованные запросы в squid.
4. Возможно, вам понадобится stunnel на другой стороне или openssl_client для повторного шифрования запроса на вышестоящий сервер.

Предостережения:

1. Ваши пользователи будут ненавидеть вас. Каждый запрос SSL к этому сайту будет отображать недействительное окно сертификата.
2. Вы подвергаете себя потенциальным судебным процессам за непослушные поступки. (IANAL)
3. Вы когда-либо сможете получить самоподписанный сертификат, работающий для этого, потому что предполагается, что сеть доверия PKI для SSL-сертификатов должна работать. Не говоря уже о скомпрометированных корневых ЦС.

Я не собираюсь давать вам точные детали того, как это сделать, потому что а) я думаю, что это несколько неэтично, и б) вам лучше научиться делать это.

Я предлагаю вам изучить, как работают атаки типа "stunnel" и "человек посередине".

Просто чтобы объяснить, почему это не может быть сделано без MITM - прокси видит только DNS-имя сервера, к которому вы хотите подключиться при использовании зашифрованного HTTPS. Он не видит ни URL, ни заголовки ответа. Он не может определить, к какому отдельному ресурсу вы обращаетесь на сайте, кешируется он или нет, и каковы времена его модификации. Все, что он может видеть, это то, что кто-то хочет что-то от удаленного сервера, использующего HTTPS.

Это означает, что кэширование не может работать, так как прокси-сервер не знает, какие кэшированные объекты вам дать или как их получить.

Нет, их нет: они зашифрованы ... Обходной путь может быть похож на развертывание « человек посередине» , но это победит все причины, стоящие за https .

Zeus (теперь Riverbed) ZTM Traffic Manager может сделать это, поскольку он может транслировать http и https-трафик в обоих направлениях и кэшировать незашифрованный контент - он работает, мы его используем, но это страшно дорого - как в цене Porsche на сервер.