Https trafiğinin web önbellek proxy sunucularındaki etkisi nedir?


25

Bilgisayar güvenliği ve internet programcılığı üzerine iki üniversite dersi aldım. Geçen gün bu konuda düşünüyordum:

Web önbelleği proxy sunucuları, popüler içeriği web'deki sunuculardan önbelleğe alır. Bu, örneğin şirketinizde dahili olarak 1 Gbps ağ bağlantısı varsa (web önbellek proxy sunucusu dahil), ancak internete yalnızca 100 Mbps bağlantı varsa kullanışlıdır. Web önbelleği proxy sunucusu, yerel ağdaki diğer bilgisayarlara önbelleğe alınmış içeriği daha hızlı bir şekilde sunabilir.

Şimdi TLS şifreli bağlantıları göz önünde bulundurun. Şifrelenmiş içerik herhangi bir şekilde önbelleğe alınabilir mi? Tüm internet trafiğini varsayılan olarak SSL üzerinden şifreli hale getirmeyi amaçlayan letsencrypt.org'dan harika bir girişim var. Bunu, siteniz için SSL sertifikaları almayı gerçekten kolay, otomatik ve ücretsiz hale getirerek yapıyorlar (2015 yazından itibaren). SSL sertifikaları için mevcut yıllık maliyetler göz önüne alındığında, ÜCRETSİZ gerçekten çekici.

Sorum şu: HTTPS trafiği sonunda web önbellek proxy sunucularını eskimiş yapar mı? Eğer öyleyse, bu küresel internet trafiğinin yükünü ne etkileyecektir?


4
Birkaç yıl boyunca bir etki alanı ve bir alt etki alanı için ücretsiz cer hizmeti sunan güvenilir bir ticari şirket var. Let's Encrypt projesinin çabalarını takdir etmeme rağmen, özellikle bunu yapmak ne kadar kolay olsalar da, Startcom'un ürettiğini hissettiğim iyi karmaşanın tanınması gerekir.
Paul

1
Bu soru neredeyse şu anda Let's Encrypt referansları ile bir reklam gibi okuyor.
fukawi2

@Paul StartCom, Temel Gereksinimleri ihlal ettiği halde sertifikalarını geri almış bir şirket olan WoSign'a satıldı.
Damian Yerrick 12:17

1
@DamianYerrick Özür dilerim, sizi çaresizlikten dolayı hayal kırıklığına uğrattım. (Yorum Mozilla tarafından keşfedilmeden önce bırakıldı.)
Paul

Yanıtlar:


18

Evet, HTTP'ler ağ önbelleğe alma için bir damper koyacaktır.

Özellikle, HTTP'leri önbelleğe almak, orta tip saldırıda bir adam yapmayı gerektirdiğinden, SSL sertifikasını önbellek sunucusununkiyle değiştirmeyi gerektirir. Bu sertifikanın anında üretilmesi ve yerel bir otorite tarafından imzalanması gerekecek.

Kurumsal bir ortamda tüm bilgisayarların önbellek sunucusu sertifikalarınıza güvenmesini sağlayabilirsiniz. Ancak diğer makineler sertifika hatalarını vereceklerdir - ki yapmaları gereken. Kötü amaçlı bir önbellek, sayfaları kolayca değiştirebilir.

Video akışı gibi büyük miktarda bant genişliği kullanan sitelerin, özellikle önbelleğe alınabilmesi için normal HTTP üzerinden içerik göndermeye devam edeceğinden şüpheleniyorum. Ancak birçok site için daha iyi güvenlik, bant genişliğindeki artıştan daha ağır basar.


MITM bir mekanizmadır, mutlaka bir saldırı değildir. Bir saldırı olarak tanımlanması gerekiyorsa, sayısız şirket çalışanlarına, sahte sertifikalarla saldırıyor ve pencereleri sertifika deposunu kullanmayan araçlarla sonsuz baş ağrıları getiriyor!
Ben

3

Hatta sert HTTPS trafiği (nedeni aksi halde, proxy yazılımı bir 'olarak hareket edecek' tam anlamıyla proxy uygulanamıyor orta adam için, tam olarak SSL için geliştirilmiştir sebeplerinden biridir', kaçınmak ), çok önemli Ortak yazılım proxy'lerinin (SQUID gibi) HTTPS bağlantılarını doğru bir şekilde idare edebileceğini belirtmek için .

Bu sayesinde mümkündür HTTP CONNECT YÖNTEMİ olduğunu, KALAMAR doğru uygulamak . Başka bir deyişle, herhangi bir HTTPS isteği için proxy'nin aldığı, şifrelenmiş, şifrelenmiş trafiğe müdahale etmeden basitçe "aktarır".

İlk başta bu işe yaramaz gelse bile, yerel müşterilerin / tarayıcıların bir proxy'yi gösterecek ve aynı zamanda herhangi bir İnternet bağlantısı biçimini kesecek şekilde yapılandırılmasını sağlar.

Öyleyse asıl sorunuza geri dönelim: " HTTPS trafiği sonunda web önbellek proxy sunucularını eskimiş hale getirir mi? "

  • EVET : Bir web proxy'sine yalnızca önbelleğe alma açısından güveniyorsanız;
  • HAYIR : Önbellekleme dışındaki şeyler için web proxy'sine güveniyorsanız (örneğin: kullanıcı kimlik doğrulaması; URL günlüğü; vb.).

Not: HTTPS ile benzer / büyük bir sorun, web barındırma çözümlerinde yaygın olan ancak HTTPS siteleriyle ilgilenirken ad tabanlı sanal ana bilgisayar çok evliliğiyle ilgilidir, ancak HTTPS siteleriyle uğraşırken karmaşıklaşıyor (ayrıntılı olarak tartışmıyorum, çünkü kesinlikle bu soru ile ilgili değil).



2
proxy, URL'lerin de şifrelenmesi nedeniyle
HTTPS'nin

0

https, daha önce proxy'lerde uygulanan bazı güvenlik türlerini yener. Kalamarın bir sayfayı yerel içerikle kesip değiştirebileceğini (oldukça fazla kullandığım bir özelliği) düşünün. Bağlantıları google aramalardan yakalardım ve proxy'imin doğrudan bağlantıya yönlendirmesini sağlarım, böylece ben (ya da yerel ağımdaki proxy'yi kullanmayı seçen başkalarının) hangi bağlantıları (Google'da proxy kullanmayı seçtiğini) açıklamayarak güvenliğimi arttırırdım. Google, https kullanarak güvenliğimin bu yönünü (elbette orta saldırıdaki bir adamdı) yendi. Şimdi, tarayıcı kodunu kırmak zorunda kalacağım ki bu çok daha fazla çaba harcıyor ... ve yerel olarak saldırıya uğramış tarayıcıları çalıştırmaktan mutlu olmadıkları sürece evdeki diğer kullanıcılar için geçerli değil.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.