Apa pengaruh traffic https pada server proxy cache web?


25

Saya baru saja mengikuti dua kursus universitas tentang keamanan komputer dan pemrograman internet. Saya memikirkan hal ini tempo hari:

Server cache server proxy cache konten populer dari server di web. Ini berguna, misalnya, jika perusahaan Anda memiliki koneksi jaringan 1 Gbps secara internal (termasuk server proxy cache web), tetapi hanya koneksi 100 Mbps ke internet. Server proxy cache web dapat menyajikan konten yang di-cache lebih cepat ke komputer lain di jaringan lokal.

Sekarang pertimbangkan koneksi terenkripsi TLS. Bisakah konten terenkripsi di-cache dengan cara yang bermanfaat? Ada inisiatif hebat dari letsencrypt.org yang bertujuan untuk membuat semua lalu lintas internet dienkripsi melalui SSL secara default. Mereka melakukan ini dengan membuatnya sangat mudah, otomatis, dan gratis untuk mendapatkan sertifikat SSL untuk situs Anda (mulai musim panas 2015). Mempertimbangkan biaya tahunan saat ini untuk sertifikat SSL, GRATIS sangat menarik.

Pertanyaan saya adalah: apakah lalu lintas HTTPS pada akhirnya membuat server proxy cache web menjadi usang? Jika demikian, berapa banyak tol yang akan diambil dari beban lalu lintas internet global?


4
Ada perusahaan komersial tepercaya yang selama beberapa tahun menawarkan sertifikat gratis untuk domain dan satu subdomain. Sementara saya sangat menghargai upaya proyek Let's Encrypt, terutama betapa mudahnya mereka ingin membuatnya, karma baik yang saya rasa telah dihasilkan oleh Startcom harus diakui.
Paul

1
Pertanyaan ini hampir seperti iklan saat ini dengan referensi untuk Let's Encrypt.
fukawi2

@Paul StartCom terjual habis ke WoSign, sebuah perusahaan yang telah mengundurkan sertifikat yang melanggar Persyaratan Dasar.
Damian Yerrick

1
@DamianYerrick Saya menyesal telah mengecewakan Anda dengan kurangnya kewaskitaan saya. (Komentar dibiarkan sebelum penemuan oleh Mozilla.)
Paul

Jawaban:


18

Ya, HTTPs akan meredam caching jaringan.

Khususnya karena caching HTTP mengharuskan dilakukannya seorang pria dalam serangan tipe menengah - mengganti sertifikat SSL dengan yang ada di server cache. Sertifikat itu harus dibuat dengan cepat dan ditandatangani oleh otoritas setempat.

Di lingkungan perusahaan Anda dapat membuat semua PC mempercayai sertifikat server cache Anda. Tetapi mesin lain akan memberikan kesalahan sertifikat - yang seharusnya. Cache berbahaya dapat memodifikasi halaman dengan mudah.

Saya menduga bahwa situs yang menggunakan bandwidth dalam jumlah besar seperti streaming video akan tetap mengirim konten melalui HTTP biasa secara khusus sehingga dapat di-cache. Tetapi untuk banyak situs, keamanan yang lebih baik lebih besar daripada peningkatan bandwidth.


MITM adalah sebuah mekanisme, tidak harus merupakan serangan. Jika itu harus didefinisikan sebagai serangan, banyak perusahaan menyerang staf mereka, dengan sertifikat palsu dan membawa mereka sakit kepala tanpa akhir dengan alat yang tidak menggunakan windows sertifikat toko!
Ben

3

Bahkan lalu lintas HTTPS yang sulit tidak dapat diproksi dalam arti yang ketat (karena, jika tidak, perangkat lunak proksi akan bertindak sebagai " orang di tengah ", itulah salah satu alasan SSL dikembangkan untuk menghindari ), penting untuk berkomentar bahwa proxy perangkat lunak umum (seperti SQUID), dapat dengan benar menangani koneksi HTTPS.

Ini dimungkinkan berkat METODE SAMBUNGAN HTTP , yang SQUID terapkan dengan benar . Dengan kata lain, untuk setiap permintaan HTTPS yang diterima proxy, itu hanya "menyampaikannya", tanpa intervensi pada lalu lintas terenkripsi dan terenkripsi.

Sekalipun pada awalnya ini terdengar tidak berguna, memungkinkan klien / browser lokal dikonfigurasikan untuk menunjuk ke proxy dan, pada saat yang sama, memotong segala bentuk konektivitas Internet.

Jadi, kembali ke pertanyaan awal Anda: " apakah lalu lintas HTTPS pada akhirnya akan membuat server proxy cache web menjadi usang? ", Jawaban saya adalah:

  • YA : jika Anda hanya mengandalkan proxy web dalam hal caching;
  • TIDAK : jika Anda mengandalkan proxy web untuk hal-hal selain caching (mis: otentikasi pengguna; pembuatan URL; dll).

PS: masalah yang sama / utama dengan HTTPS berkaitan dengan multihoming virtual-host berbasis nama, yang umum dalam solusi hosting web tetapi .... semakin rumit ketika berhadapan dengan situs HTTPS (saya tidak membahas secara detail, karena ini tidak terkait langsung dengan pertanyaan ini).



2
proxy tidak dapat melakukan URL-logging HTTPS karena URL juga dienkripsi (nama host mungkin tidak terenkripsi, jika menggunakan SNI, tetapi sisa URL selalu dienkripsi)
Markus Laire

0

https mengalahkan beberapa jenis keamanan yang sebelumnya diterapkan di proxy. Pertimbangkan bahwa squid dapat mencegat dan mengganti halaman dengan konten lokal (fitur yang saya gunakan cukup banyak). Saya biasa menangkap tautan dari pencarian Google dan meminta proxy saya mengarahkan langsung ke tautan, sehingga meningkatkan keamanan saya dengan tidak membocorkan tautan mana yang saya (atau siapa pun di jaringan lokal saya yang memilih untuk menggunakan proxy) diikuti ke Google. Dengan menggunakan https, Google telah mengalahkan aspek keamanan saya (yang, tentu saja, seorang pria di tengah serangan). Sekarang saya harus meretas kode peramban, yang merupakan upaya lebih ... dan tidak tersedia untuk pengguna lain di rumah kecuali jika mereka juga, senang menjalankan peramban yang diretas secara lokal.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.