Właśnie wziąłem dwa kursy uniwersyteckie na temat bezpieczeństwa komputerowego i programowania w Internecie. Myślałem o tym pewnego dnia:
Internetowe serwery proxy buforują popularne treści z serwerów w sieci. Jest to przydatne na przykład, jeśli Twoja firma ma wewnętrzne połączenie sieciowe 1 Gb / s (w tym serwer proxy z pamięcią podręczną), ale tylko połączenie 100 Mb / s z Internetem. Serwer proxy z pamięcią podręczną może znacznie szybciej udostępniać buforowane treści innym komputerom w sieci lokalnej.
Teraz rozważ połączenia szyfrowane TLS. Czy zaszyfrowaną treść można buforować w jakikolwiek użyteczny sposób? Letsencrypt.org ma świetną inicjatywę, której celem jest domyślnie szyfrowanie całego ruchu internetowego za pomocą protokołu SSL. Robią to, czyniąc naprawdę łatwym, zautomatyzowanym i darmowym uzyskanie certyfikatów SSL dla Twojej witryny (od lata 2015). Biorąc pod uwagę obecne roczne koszty certyfikatów SSL, ZA DARMO jest naprawdę atrakcyjna.
Moje pytanie brzmi: czy ruch HTTPS ostatecznie spowoduje, że serwery proxy pamięci podręcznej będą przestarzałe? Jeśli tak, to jakie to będzie obciążenie dla globalnego ruchu internetowego?
Odpowiedzi:
Tak, protokoły HTTP utrudniają buforowanie sieciowe.
Zwłaszcza, że buforowanie HTTPs wymaga przeprowadzenia ataku typu man in the middle - zastąpienie certyfikatu SSL certyfikatem serwera pamięci podręcznej. Ten certyfikat będzie musiał być generowany w locie i podpisany przez lokalne władze.
W środowisku korporacyjnym możesz sprawić, że wszystkie komputery będą ufać twoim certyfikatom serwera pamięci podręcznej. Ale inne maszyny będą dawać błędy certyfikatów - co powinny. Złośliwy bufor może łatwo modyfikować strony.
Podejrzewam, że witryny wykorzystujące dużą przepustowość, takie jak przesyłanie strumieniowe wideo, nadal wysyłają treści za pośrednictwem zwykłego protokołu HTTP, aby można je było buforować. Jednak w przypadku wielu witryn lepsze bezpieczeństwo przeważa nad wzrostem przepustowości.
źródło
Nawet trudny ruch HTTPS nie może być ściśle powiązany z serwerem proxy (ponieważ w przeciwnym razie oprogramowanie proxy będzie działać jako „ człowiek pośrodku ”, to jest właśnie jeden z powodów, dla których SSL został opracowany, aby tego uniknąć ), ważne jest, aby aby zauważyć, że popularne proxy oprogramowania (takie jak SQUID), mogą poprawnie obsługiwać połączenia HTTPS.
Jest to możliwe dzięki METODIE POŁĄCZENIA HTTP , która poprawnie implementuje SQUID . Innymi słowy, dla każdego żądania HTTPS, które otrzymuje proxy, po prostu „przekazuje” je, bez żadnej interwencji w enkapsulowany, zaszyfrowany ruch.
Nawet jeśli na początku wydaje się to bezużyteczne, pozwala na skonfigurowanie lokalnych klientów / przeglądarek tak, aby wskazywały serwer proxy, a jednocześnie odcięcie wszelkich form łączności z Internetem.
Wracając do pierwotnego pytania: „ czy ruch HTTPS ostatecznie spowoduje, że serwery proxy pamięci podręcznej będą przestarzałe? ”, Moja odpowiedź brzmi:
PS: podobny / poważny problem z HTTPS dotyczy opartego na nazwie wirtualnego hosta multihoming, który jest powszechny w rozwiązaniach hostingowych, ale .... komplikuje się, gdy mamy do czynienia z witrynami HTTPS (nie dyskutuję szczegółowo, ponieważ nie jest to ściśle związane z tym pytaniem).
źródło
https pokonuje pewne zabezpieczenia, które wcześniej były implementowane w serwerach proxy. Weź pod uwagę, że kałamarnica może przechwytywać i zastępować stronę treściami lokalnymi (z której dość często korzystam). Łapałem linki z wyszukiwań w Google i kazałem mojemu proxy przekierowywać bezpośrednio do linku, zwiększając w ten sposób moje bezpieczeństwo, nie ujawniając, które linki (lub ktokolwiek w mojej sieci lokalnej, który zdecydował się użyć proxy) podążałem do Google. Korzystając z protokołu https, Google pokonał ten aspekt mojego bezpieczeństwa (którym był oczywiście atak człowieka w środku). Teraz musiałbym zhakować kod przeglądarki, co jest o wiele większym wysiłkiem ... i nie jest dostępne dla innych użytkowników w domu, chyba że oni również chętnie uruchamiają przeglądarki zhakowane lokalnie.
źródło