Какое влияние имеет трафик https на прокси-серверы веб-кэша?


25

Я только что прошел два университетских курса по компьютерной безопасности и интернет-программированию. Я думал об этом на днях:

Прокси-серверы веб-кэша кэшируют популярный контент с веб-серверов. Это полезно, например, если ваша компания имеет внутреннее сетевое подключение 1 Гбит / с (включая прокси-сервер веб-кэша), но только подключение к Интернету со скоростью 100 Мбит / с. Прокси-сервер веб-кэша может гораздо быстрее доставлять кэшированный контент другим компьютерам в локальной сети.

Теперь рассмотрим TLS-зашифрованные соединения. Может ли зашифрованный контент быть кэширован любым полезным способом? Letsencrypt.org предлагает отличную инициативу, направленную на то, чтобы по умолчанию шифровать весь интернет-трафик по SSL. Они делают это, делая по-настоящему простым, автоматизированным и бесплатным получение SSL-сертификатов для вашего сайта (начиная с лета 2015 года). Учитывая текущие годовые расходы на сертификаты SSL, БЕСПЛАТНО действительно привлекательно.

Мой вопрос: сделает ли HTTPS-трафик со временем прокси-серверы веб-кэша устаревшими? Если да, то как это повлияет на нагрузку глобального интернет-трафика?


4
Существует доверенная коммерческая компания, которая уже несколько лет предлагает бесплатные сертификаты на домен и один поддомен. Хотя я очень ценю усилия проекта Let's Encrypt, особенно то, насколько легко они хотят его реализовать, нужно признать хорошую карму, которую, как мне кажется, создал Startcom.
Пол

1
Этот вопрос сейчас выглядит почти как реклама со ссылками на Let's Encrypt.
fukawi2

@Paul StartCom продан WoSign, компании, чьи сертификаты с задним сроком действия нарушают Базовые требования.
Дамиан Йеррик

1
@DamianYerrick Извини, что разочаровал тебя отсутствием ясновидения. (Комментарий был оставлен до открытия
Пол

Ответы:


18

Да, HTTPs ограничит кеширование сети.

В частности, потому что для кэширования HTTP требуется выполнить атаку среднего типа - заменить SSL-сертификат сертификатом сервера кеша. Этот сертификат должен быть создан на лету и подписан местным органом власти.

В корпоративной среде вы можете заставить все компьютеры доверять сертификатам вашего сервера кеша. Но другие машины будут выдавать ошибки сертификата - что они должны. Вредоносный кеш может легко изменять страницы.

Я подозреваю, что сайты, которые используют большие объемы полосы пропускания, такие как потоковое видео, будут по-прежнему отправлять контент по обычному HTTP, чтобы его можно было кэшировать. Но для многих сайтов лучшая безопасность перевешивает увеличение пропускной способности.


MITM - это механизм, не обязательно атака. Если это должно быть определено как атака, бесчисленные компании атакуют своих сотрудников с помощью поддельных сертификатов и приносят им бесконечные головные боли с помощью инструментов, не использующих хранилище сертификатов Windows!
Бен

3

Даже жесткий HTTPS-трафик не может быть проксирован в строгом смысле (потому что, в противном случае, прокси-программное обеспечение будет действовать как « человек посередине », что является одной из причин, по которым SSL был разработан, чтобы избежать ), это важно Отметим, что обычные программные прокси (такие как SQUID) могут правильно обрабатывать HTTPS-соединения.

Это возможно благодаря методу HTTP CONNECT , который SQUID правильно реализует . Другими словами, для любого HTTPS-запроса, который получает прокси, он просто «ретранслирует» его без какого-либо вмешательства в инкапсулированный, зашифрованный трафик.

Даже если поначалу это звучит бесполезно, это позволяет настроить локальные клиенты / браузеры так, чтобы они указывали на прокси-сервер, и в то же время обрезать любые формы подключения к Интернету.

Итак, вернемся к исходному вопросу: «Из-за чего HTTPS-трафик в конечном итоге сделает прокси-серверы веб-кэша устаревшими? », Мой ответ:

  • ДА : если вы используете веб-прокси только с точки зрения кэширования;
  • НЕТ : если вы используете веб-прокси для других целей, кроме кэширования (например, аутентификация пользователя; ведение URL-адресов и т. Д.).

PS: похожая / основная проблема с HTTPS связана с множественной адресацией виртуальных хостов на основе имен, которая часто встречается в решениях для веб-хостинга, но .... усложняется при работе с сайтами HTTPS (я не буду подробно обсуждать, потому что это не строго связано с этим вопросом).



2
прокси не может вести URL-протокол HTTPS, поскольку URL-адреса также зашифрованы (имя хоста может быть незашифровано, если используется SNI, но остальная часть URL-адреса всегда зашифрована)
Маркус

0

https побеждает некоторые виды безопасности, которые ранее были реализованы в прокси. Учтите, что squid может перехватывать и заменять страницу локальным контентом (функция, которой я пользуюсь довольно часто). Раньше я ловил ссылки из поисков Google и перенаправлял мой прокси прямо на ссылку, повышая тем самым мою безопасность, так как не разглашал, по каким ссылкам я (или кто-либо другой в моей локальной сети, кто решил использовать прокси) перешел на Google. Используя https, Google победил этот аспект моей безопасности (который, конечно, был человеком в середине атаки). Теперь мне придется взломать код браузера, что требует гораздо больших усилий ... и недоступно для других пользователей в семье, если только они не будут рады запускать локально взломанные браузеры.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.