Jaki wpływ ma ruch https na serwery proxy z pamięcią podręczną?

25

Właśnie wziąłem dwa kursy uniwersyteckie na temat bezpieczeństwa komputerowego i programowania w Internecie. Myślałem o tym pewnego dnia:

Internetowe serwery proxy buforują popularne treści z serwerów w sieci. Jest to przydatne na przykład, jeśli Twoja firma ma wewnętrzne połączenie sieciowe 1 Gb / s (w tym serwer proxy z pamięcią podręczną), ale tylko połączenie 100 Mb / s z Internetem. Serwer proxy z pamięcią podręczną może znacznie szybciej udostępniać buforowane treści innym komputerom w sieci lokalnej.

Teraz rozważ połączenia szyfrowane TLS. Czy zaszyfrowaną treść można buforować w jakikolwiek użyteczny sposób? Letsencrypt.org ma świetną inicjatywę, której celem jest domyślnie szyfrowanie całego ruchu internetowego za pomocą protokołu SSL. Robią to, czyniąc naprawdę łatwym, zautomatyzowanym i darmowym uzyskanie certyfikatów SSL dla Twojej witryny (od lata 2015). Biorąc pod uwagę obecne roczne koszty certyfikatów SSL, ZA DARMO jest naprawdę atrakcyjna.

Moje pytanie brzmi: czy ruch HTTPS ostatecznie spowoduje, że serwery proxy pamięci podręcznej będą przestarzałe? Jeśli tak, to jakie to będzie obciążenie dla globalnego ruchu internetowego?

proxy https cache tls ejsuncy
źródło
4
Jest zaufaną firmą handlową, która od kilku lat oferuje bezpłatne certyfikaty dla domeny i jednej subdomeny. Chociaż bardzo doceniam wysiłki projektu Let's Encrypt, a zwłaszcza to, jak łatwo chcą to uczynić, dobrą karmę, którą, jak uważam, wytworzył Startcom, należy docenić.
Paul
1
To pytanie brzmi obecnie jak reklama z odniesieniami do Let's Encrypt.
fukawi2
@Paul StartCom został wyprzedany do WoSign, firmy, która dokonała aktualizacji certyfikatów z naruszeniem wymagań podstawowych.
Damian Yerrick
1
@DamianYerrick Przykro mi, że rozczarowałem Cię brakiem jasnowidzenia. (Komentarz został pozostawiony przed odkryciem Mozilli.)
Paul
Możliwy duplikat Czy istnieje jakiś sposób buforowania żądań HTTPS na serwerze proxy?
Dan Dascalescu,

Odpowiedzi:

18

Tak, protokoły HTTP utrudniają buforowanie sieciowe.

Zwłaszcza, że ​​buforowanie HTTPs wymaga przeprowadzenia ataku typu man in the middle - zastąpienie certyfikatu SSL certyfikatem serwera pamięci podręcznej. Ten certyfikat będzie musiał być generowany w locie i podpisany przez lokalne władze.

W środowisku korporacyjnym możesz sprawić, że wszystkie komputery będą ufać twoim certyfikatom serwera pamięci podręcznej. Ale inne maszyny będą dawać błędy certyfikatów - co powinny. Złośliwy bufor może łatwo modyfikować strony.

Podejrzewam, że witryny wykorzystujące dużą przepustowość, takie jak przesyłanie strumieniowe wideo, nadal wysyłają treści za pośrednictwem zwykłego protokołu HTTP, aby można je było buforować. Jednak w przypadku wielu witryn lepsze bezpieczeństwo przeważa nad wzrostem przepustowości.

Dotacja
źródło
MITM to mechanizm, niekoniecznie atak. Jeśli trzeba to zdefiniować jako atak, niezliczone firmy atakują swoich pracowników fałszywymi certyfikatami i przynoszą im niekończące się problemy z narzędziami, które nie korzystają z magazynu certyfikatów systemu Windows!
Ben
3

Nawet trudny ruch HTTPS nie może być ściśle powiązany z serwerem proxy (ponieważ w przeciwnym razie oprogramowanie proxy będzie działać jako „ człowiek pośrodku ”, to jest właśnie jeden z powodów, dla których SSL został opracowany, aby tego uniknąć ), ważne jest, aby aby zauważyć, że popularne proxy oprogramowania (takie jak SQUID), mogą poprawnie obsługiwać połączenia HTTPS.

Jest to możliwe dzięki METODIE POŁĄCZENIA HTTP , która poprawnie implementuje SQUID . Innymi słowy, dla każdego żądania HTTPS, które otrzymuje proxy, po prostu „przekazuje” je, bez żadnej interwencji w enkapsulowany, zaszyfrowany ruch.

Nawet jeśli na początku wydaje się to bezużyteczne, pozwala na skonfigurowanie lokalnych klientów / przeglądarek tak, aby wskazywały serwer proxy, a jednocześnie odcięcie wszelkich form łączności z Internetem.

Wracając do pierwotnego pytania: „ czy ruch HTTPS ostatecznie spowoduje, że serwery proxy pamięci podręcznej będą przestarzałe? ”, Moja odpowiedź brzmi:

  • TAK : jeśli korzystasz z serwera proxy tylko w zakresie buforowania;
  • NIE : jeśli korzystasz z internetowego serwera proxy do celów innych niż buforowanie (np. Uwierzytelnianie użytkownika; rejestrowanie adresów URL itp.).

PS: podobny / poważny problem z HTTPS dotyczy opartego na nazwie wirtualnego hosta multihoming, który jest powszechny w rozwiązaniach hostingowych, ale .... komplikuje się, gdy mamy do czynienia z witrynami HTTPS (nie dyskutuję szczegółowo, ponieważ nie jest to ściśle związane z tym pytaniem).

Damiano Verzulli
źródło
2
proxy nie może rejestrować adresów URL protokołu HTTPS, ponieważ adresy URL są również szyfrowane (nazwa hosta może być nieszyfrowana, jeśli używa się SNI, ale reszta adresu URL jest zawsze szyfrowana)
Markus Laire
0

https pokonuje pewne zabezpieczenia, które wcześniej były implementowane w serwerach proxy. Weź pod uwagę, że kałamarnica może przechwytywać i zastępować stronę treściami lokalnymi (z której dość często korzystam). Łapałem linki z wyszukiwań w Google i kazałem mojemu proxy przekierowywać bezpośrednio do linku, zwiększając w ten sposób moje bezpieczeństwo, nie ujawniając, które linki (lub ktokolwiek w mojej sieci lokalnej, który zdecydował się użyć proxy) podążałem do Google. Korzystając z protokołu https, Google pokonał ten aspekt mojego bezpieczeństwa (którym był oczywiście atak człowieka w środku). Teraz musiałbym zhakować kod przeglądarki, co jest o wiele większym wysiłkiem ... i nie jest dostępne dla innych użytkowników w domu, chyba że oni również chętnie uruchamiają przeglądarki zhakowane lokalnie.

geyrfugl
źródło