web-dev-qa-db-fra.com

Quel effet Traffic HTTPS a-t-il sur les serveurs proxy de cache Web?

Je viens de prendre deux parcours universitaires sur la sécurité informatique et la programmation Internet. Je pensais à cela l'autre jour:

Cache Web Servers Proxy Cache Contenu populaire de serveurs sur le Web. Ceci est utile, par exemple, si votre entreprise dispose d'une connexion réseau de 1 Gbps en interne (y compris un serveur de proxy de cache Web), mais seulement une connexion de 100 Mbps à Internet. Le serveur proxy de cache Web peut servir de contenu mis en cache beaucoup plus rapidement à d'autres ordinateurs sur le réseau local.

Maintenant, envisagez des connexions cryptées TLS. Le contenu crypté peut-il être mis en cache de manière utile? Il y a une grande initiative de LetSencypt.org visant à rendre tout le trafic Internet chiffré sur SSL par défaut. Ils le font en le rendant vraiment facile, automatisé et libre d'obtenir des certificats SSL pour votre site (à partir de l'été 2015). Compte tenu des coûts annuels actuels des certificats SSL, Gratuit est vraiment attrayant.

Ma question est la suivante: le trafic https sera-t-il éventuellement des serveurs de proxy de cache Web obsolètes? Si oui, quel péage prendra-t-il la charge du trafic Internet mondial?

26
ejsuncy

Oui, https mettra un amortisseur sur la mise en cache réseau.

Spécifiquement, parce que la cache HTTPS nécessite de faire un homme dans l'attaque de type intermédiaire - remplacement du certificat SSL avec celui du serveur de cache. Ce certificat devra être généré à la volée et signé par une autorité locale.

Dans un environnement d'entreprise, vous pouvez faire confiance à tous les PCS de vos certificats de cache Server. Mais d'autres machines donneront des erreurs de certificat - qu'ils devraient. Un cache malveillant pourrait modifier facilement les pages.

Je soupçonne que les sites qui utilisent de grandes quantités de bande passante, comme le streaming vidéo enverront toujours du contenu sur HTTP régulier spécifiquement afin que cela puisse être mis en cache. Mais pour de nombreux sites, une meilleure sécurité l'emporte sur l'augmentation de la bande passante.

18
Grant

Même le trafic HTTPS dur ne peut pas être proxé dans un sens strict ("Cause, sinon, le logiciel de proxy agira comme un" homme au milieu ", c'est exactement l'une des raisons de la raison pour laquelle SSL a été Développé pour, à éviter), il est important de remarquer que les proxy logiciels communs (comme calmars), peuvent correctement ​​Connections HTTPS.

Cela est possible grâce à la méthode méthode de connexion HTTP , que calmars correctement implémente . En d'autres termes, pour toute demande HTTPS demande que le proxy reçoive, il suffit de "relais", sans aucune intervention au trafic encourné et encapsulé.

Même si, au début, cela sonne inutile, il permet d'avoir des clients/navigateurs locaux configurés pour pointer vers un proxy et, en même temps, toutes les formes de connectivité Internet.

Donc, retour à votre question originale: " le trafic https va éventuellement faire des serveurs proxy de cache Web obsolètes ?", ma réponse est:

  • OUI : Si vous comptez sur un proxy Web uniquement en termes de mise en cache;
  • [~ # ~] Non [~ # ~ ~]: Si vous comptez sur un proxy Web pour des choses autres que la mise en cache (par exemple: authentification de l'utilisateur; enregistrement de l'URL; etc.).

PS: un problème similaire/majeur avec HTTPS concerne la multi-hôte virtuelle basé sur le nom, qui est courant dans des solutions d'hébergement Web, mais .... est complexe lorsque vous traitez avec des sites HTTPS (je ne discute pas de détails, car Ce n'est pas strictement lié à cette question).


3
Damiano Verzulli

hTTPS vaincit certaines sortes de garanties qui ont déjà été mises en œuvre dans des mandataires. Considérez que le calmar peut intercepter et remplacer une page avec du contenu local (une fonctionnalité que j'utilise beaucoup). J'avais l'habitude d'attraper les liens de Google Recherches et de faire rediriger mon proxy directement sur le lien, augmentant ainsi ma sécurité en ne divulguant pas quels liens I (ou quiconque sur mon réseau local qui a choisi d'utiliser le proxy) suivi de Google. En utilisant HTTPS, Google a vaincu cet aspect de ma sécurité (qui était, bien sûr, un homme à l'attaque moyenne). Je devrais maintenant pirater le code du navigateur, qui est de façon plus effort ... et n'est pas à la disposition des autres utilisateurs du ménage, à moins qu'ils ne soient également heureux d'exécuter des navigateurs piratés localement.

0
geyrfugl