Apakah ada cara untuk me-cache permintaan HTTPS di server proxy?

Kami menggunakan server proxy Squid di lingkungan kami dan kami ingin men-cache permintaan HTTPS.

Apakah ada cara untuk mengkonfigurasi Squid atau secara umum server proxy untuk men-cache permintaan HTTPS?

Ada cara untuk melakukannya, tetapi pada dasarnya bertentangan dengan alasan untuk menggunakan HTTPS.

Begini caranya.

1. Hasilkan Sertifikat SSL yang ditandatangani sendiri untuk situs yang Anda inginkan untuk mencegat dan menyimpan cache permintaan.
2. Instal dan jalankan stunnel di server proxy Anda, beri tahu bahwa sertifikat yang dihadirkannya adalah yang dihasilkan di tahap 1.
3. Minta stunnel meneruskan permintaan yang didekripsi ke squid.
4. Anda mungkin perlu memiliki stunnel di sisi lain, atau openssl_client untuk mengenkripsi ulang permintaan ke server hulu.

Peringatan:

1. Pengguna Anda akan membenci Anda. Setiap permintaan SSL ke situs itu akan menampilkan jendela sertifikat yang tidak valid.
2. Anda membuka diri terhadap potensi tuntutan hukum karena melakukan hal-hal nakal. (IANAL)
3. Anda hanya akan bisa mendapatkan sertifikat yang ditandatangani sendiri berfungsi untuk ini, karena bagaimana web kepercayaan PKI untuk Sertifikat SSL seharusnya bekerja. Tidak mengatakan apa pun tentang CA root yang dikompromikan.

Saya tidak akan memberi Anda detail yang tepat tentang bagaimana melakukan ini, karena a) Saya pikir ini agak tidak etis, dan b) Lebih baik bagi Anda untuk belajar bagaimana melakukannya.

Saya sarankan Anda meneliti bagaimana serangan stunnel dan man-in-the-middle bekerja.

Hanya untuk menjelaskan mengapa ini tidak dapat dilakukan tanpa MITM - proxy hanya melihat nama DNS dari server yang ingin Anda sambungkan ketika menggunakan HTTPS terenkripsi. Itu tidak melihat URL, atau header respons. Itu tidak dapat menentukan sumber daya individual mana yang Anda akses di suatu situs, apakah itu dapat di-cache atau tidak, atau berapa kali modifikasi itu. Yang bisa dilihat adalah seseorang menginginkan sesuatu dari server jauh menggunakan HTTPS.

Ini berarti bahwa cache tidak bisa berfungsi karena proxy tidak tahu objek cache apa yang diberikan kepada Anda, atau bagaimana cara mendapatkannya di tempat pertama.

Tidak, tidak ada: mereka dienkripsi ... Solusi akan menjadi sesuatu seperti penyebaran manusia-di-tengah , tetapi itu akan mengalahkan semua alasan di balik https .

Zeus (Now Riverbed's) ZTM Traffic Manager dapat melakukan ini karena dapat menerjemahkan lalu lintas http dan https baik cara maupun cache konten yang tidak terenkripsi - itu berfungsi, kami menggunakannya, tetapi harganya sangat mahal - seperti harga Porsche per server.