Lưu lượng https có ảnh hưởng gì đến máy chủ proxy bộ đệm web?

25

Tôi chỉ học hai khóa đại học về bảo mật máy tính và lập trình internet. Tôi đã suy nghĩ về việc này vào một ngày khác:

Web cache proxy máy chủ lưu trữ nội dung phổ biến từ các máy chủ trên web. Điều này rất hữu ích, ví dụ, nếu công ty của bạn có kết nối mạng 1 Gbps bên trong (bao gồm máy chủ proxy bộ đệm web), nhưng chỉ có kết nối 100 Mbps với internet. Máy chủ proxy bộ đệm web có thể phục vụ nội dung được lưu trong bộ nhớ cache nhanh hơn nhiều cho các máy tính khác trên mạng cục bộ.

Bây giờ hãy xem xét các kết nối được mã hóa TLS. Nội dung được mã hóa có thể được lưu trữ theo bất kỳ cách hữu ích nào không? Có một sáng kiến ​​tuyệt vời từ letencrypt.org nhằm mục đích làm cho tất cả lưu lượng truy cập internet được mã hóa qua SSL theo mặc định. Họ đang làm điều này bằng cách làm cho nó thực sự dễ dàng, tự động và miễn phí để có được chứng chỉ SSL cho trang web của bạn (bắt đầu từ mùa hè 2015). Xem xét chi phí hàng năm hiện tại cho các chứng chỉ SSL, MIỄN PHÍ thực sự hấp dẫn.

Câu hỏi của tôi là: liệu lưu lượng HTTPS cuối cùng có khiến máy chủ proxy bộ đệm web bị lỗi thời không? Nếu vậy, phí này sẽ mất bao nhiêu lưu lượng truy cập internet toàn cầu?

proxy  https  cache  tls 
xuất tinh
nguồn
4
Có một công ty thương mại đáng tin cậy trong một số năm đã cung cấp certs miễn phí cho một tên miền và một tên miền phụ. Mặc dù tôi đánh giá rất cao những nỗ lực của dự án Let Encrypt, đặc biệt là họ muốn tạo ra nó dễ dàng như thế nào, nhưng nghiệp tốt mà tôi cảm thấy Startcom đã tạo ra nên được công nhận.
Paul
1
Câu hỏi này gần như đọc giống như một quảng cáo tại thời điểm này với các tài liệu tham khảo về Let Encrypt.
fukawi2
@Paul StartCom đã bán hết cho WoSign, một công ty có chứng chỉ lạc hậu vi phạm các Yêu cầu cơ bản.
Damian Yerrick
1
@DamianYerrick Tôi xin lỗi tôi đã làm bạn thất vọng vì sự thiếu thấu thị của tôi. (Nhận xét được để lại trước khi phát hiện của Mozilla.)
Paul
Dan Dascalescu

Câu trả lời:

18

Có, HTTP sẽ đặt một bộ giảm xóc vào bộ nhớ đệm mạng.

Cụ thể bởi vì các bộ đệm HTTP yêu cầu thực hiện một người đàn ông trong cuộc tấn công loại giữa - thay thế chứng chỉ SSL bằng máy chủ bộ đệm. Chứng chỉ đó sẽ phải được tạo ra khi đang bay và được ký bởi chính quyền địa phương.

Trong môi trường doanh nghiệp, bạn có thể làm cho tất cả các PC tin tưởng vào chứng chỉ máy chủ bộ đệm của bạn. Nhưng các máy khác sẽ cung cấp lỗi chứng chỉ - mà họ nên. Một bộ đệm độc hại có thể sửa đổi các trang dễ dàng.

Tôi nghi ngờ rằng các trang web sử dụng lượng băng thông lớn như truyền phát video vẫn sẽ gửi nội dung qua HTTP thông thường để có thể lưu vào bộ nhớ cache. Nhưng đối với nhiều trang web, bảo mật tốt hơn nhiều so với việc tăng băng thông.

Ban cho
nguồn
MITM là một cơ chế, không nhất thiết là một cuộc tấn công. Nếu nó phải được định nghĩa là một cuộc tấn công, vô số công ty đang tấn công nhân viên của họ, với các loại thuốc giả và khiến họ đau đầu vô tận với các công cụ không sử dụng cửa hàng chứng chỉ windows!
Ben
3

Ngay cả lưu lượng HTTPS khó khăn cũng không thể được ủy thác theo nghĩa nghiêm ngặt (vì nếu không, phần mềm proxy sẽ hoạt động như một " người đàn ông ở giữa ", đó chính xác là một trong những lý do SSL được phát triển để tránh ), điều đó quan trọng để nhận xét rằng các proxy phần mềm phổ biến (như SQUID), có thể xử lý chính xác các kết nối HTTPS.

Điều này có thể nhờ vào PHƯƠNG PHÁP KẾT NỐI HTTP , SQUID thực hiện chính xác . Nói cách khác, đối với bất kỳ yêu cầu HTTPS nào mà proxy nhận được, nó chỉ đơn giản là "chuyển tiếp" nó, mà không có bất kỳ sự can thiệp nào vào lưu lượng được mã hóa, mã hóa.

Ngay cả khi lúc đầu điều này nghe có vẻ vô dụng, nó cho phép các máy khách / trình duyệt cục bộ được cấu hình để trỏ đến một proxy và đồng thời, cắt bất kỳ hình thức kết nối Internet nào.

Vì vậy, hãy quay lại câu hỏi ban đầu của bạn: " lưu lượng HTTPS cuối cùng có khiến máy chủ proxy bộ đệm web bị lỗi thời không? ", Câu trả lời của tôi là:

  • : nếu bạn chỉ dựa vào proxy web về bộ nhớ đệm;
  • KHÔNG : nếu bạn dựa vào proxy web cho những thứ khác ngoài bộ đệm (ví dụ: xác thực người dùng; ghi nhật ký URL, v.v.).

PS: một vấn đề tương tự / lớn với HTTPS liên quan đến đa máy chủ ảo dựa trên tên, thường gặp trong các giải pháp lưu trữ web nhưng .... trở nên phức tạp khi giao dịch với các trang web HTTPS (vì tôi không thảo luận chi tiết, vì nguyên nhân nó không liên quan chặt chẽ đến câu hỏi này).

Damiano Verzulli
nguồn
2
proxy không thể ghi nhật ký HTTPS bằng URL vì URL cũng được mã hóa (tên máy chủ có thể không được mã hóa, nếu sử dụng SNI, nhưng phần còn lại của URL luôn được mã hóa)
Markus Laire
0

https đánh bại một số loại bảo mật đã được triển khai trước đây trong proxy. Hãy xem xét rằng mực có thể chặn và thay thế một trang bằng nội dung cục bộ (một tính năng tôi sử dụng khá nhiều). Tôi đã từng bắt các liên kết từ các tìm kiếm của google và chuyển hướng proxy của tôi đến liên kết, do đó tăng tính bảo mật của tôi bằng cách không tiết lộ liên kết nào mà tôi (hoặc bất kỳ ai khác trên mạng địa phương của tôi đã chọn sử dụng proxy) theo Google. Bằng cách sử dụng https, Google đã đánh bại khía cạnh bảo mật này của tôi (tất nhiên, đó là một người đàn ông trong cuộc tấn công trung gian). Bây giờ tôi sẽ phải hack mã trình duyệt, đó là cách nỗ lực hơn ... và không có sẵn cho những người dùng khác trong gia đình trừ khi họ cũng vậy, rất vui khi chạy các trình duyệt bị hack cục bộ.

mạch nước phun
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.