ปริมาณการรับส่งข้อมูล https ใดมีผลต่อพร็อกซีเซิร์ฟเวอร์เว็บแคช


25

ฉันเพิ่งเรียนมหาวิทยาลัยสองหลักสูตรเกี่ยวกับความปลอดภัยของคอมพิวเตอร์และการเขียนโปรแกรมอินเทอร์เน็ต ฉันกำลังคิดเกี่ยวกับเรื่องนี้เมื่อวันก่อน:

เว็บแคชพร็อกซีเซิร์ฟเวอร์แคชเนื้อหายอดนิยมจากเซิร์ฟเวอร์บนเว็บ สิ่งนี้มีประโยชน์เช่นหาก บริษัท ของคุณมีการเชื่อมต่อเครือข่าย 1 Gbps ภายใน (รวมถึงเว็บแคชพร็อกซีเซิร์ฟเวอร์) แต่จะเชื่อมต่อกับอินเทอร์เน็ตได้เพียง 100 Mbps เว็บแคชพร็อกซีเซิร์ฟเวอร์สามารถให้บริการเนื้อหาที่แคชได้รวดเร็วยิ่งขึ้นไปยังคอมพิวเตอร์เครื่องอื่น ๆ ในเครือข่ายท้องถิ่น

พิจารณาการเชื่อมต่อที่เข้ารหัสด้วย TLS เนื้อหาที่เข้ารหัสสามารถแคชด้วยวิธีที่มีประโยชน์หรือไม่? มีความคิดริเริ่มที่ยอดเยี่ยมจาก letencrypt.org โดยมีเป้าหมายเพื่อให้ปริมาณการใช้งานอินเทอร์เน็ตทั้งหมดถูกเข้ารหัสผ่าน SSL โดยค่าเริ่มต้น พวกเขากำลังทำสิ่งนี้โดยทำให้เป็นเรื่องง่ายอัตโนมัติและฟรีเพื่อรับใบรับรอง SSL สำหรับไซต์ของคุณ (เริ่มต้นฤดูร้อนปี 2015) พิจารณาค่าใช้จ่ายรายปีในปัจจุบันสำหรับใบรับรอง SSL ฟรีน่าสนใจจริงๆ

คำถามของฉันคือ: การรับส่งข้อมูล HTTPS ในที่สุดจะทำให้เว็บแคชพรอกซีเซิร์ฟเวอร์ล้าสมัยหรือไม่ ถ้าเป็นเช่นนั้นจะมีค่าใช้จ่ายเท่าใดในการโหลดปริมาณการใช้อินเทอร์เน็ตทั่วโลก?


4
มี บริษัท การค้าที่เชื่อถือได้ที่ให้บริการฟรีสำหรับโดเมนและโดเมนย่อยหนึ่งปี แม้ว่าฉันจะซาบซึ้งอย่างมากกับความพยายามของโครงการ Let's Encrypt โดยเฉพาะอย่างยิ่งว่าพวกเขาต้องการทำให้เป็นเรื่องง่ายเพียงใดกรรมที่ดีที่ฉันรู้สึกว่า Startcom ได้สร้างขึ้นควรได้รับการยอมรับ
พอล

1
คำถามนี้เกือบอ่านเหมือนโฆษณาในขณะนี้โดยอ้างอิงจาก Let's Encrypt
fukawi2

@Paul StartCom ขายให้กับ WoSign ซึ่งเป็น บริษัท ที่มีใบรับรองย้อนหลังเนื่องจากละเมิดข้อกำหนดพื้นฐาน
Damian Yerrick

1
@DamianYerrick ฉันขอโทษฉันผิดหวังคุณที่ฉันไม่มีตาทิพย์ (ความคิดเห็นถูกทิ้งไว้ก่อนการค้นพบโดย Mozilla)
พอล

คำตอบ:


18

ใช่ HTTPs จะทำให้สิ่งที่ทำให้ชื้นในการแคชเครือข่าย

โดยเฉพาะอย่างยิ่งเนื่องจากการแคช HTTPs นั้นต้องใช้การโจมตีของคนประเภทกลาง - แทนที่ใบรับรอง SSL ด้วยแคชเซิร์ฟเวอร์ ใบรับรองนั้นจะต้องถูกสร้างขึ้นในทันทีและลงนามโดยหน่วยงานท้องถิ่น

ในสภาพแวดล้อมขององค์กรคุณสามารถทำให้พีซีทั้งหมดเชื่อถือใบรับรองแคชเซิร์ฟเวอร์ของคุณ แต่เครื่องอื่น ๆ จะให้ข้อผิดพลาดใบรับรอง - ซึ่งควร แคชที่เป็นอันตรายสามารถปรับเปลี่ยนหน้าได้อย่างง่ายดาย

ฉันสงสัยว่าไซต์ที่ใช้แบนด์วิดท์จำนวนมากเช่นการสตรีมวิดีโอจะยังคงส่งเนื้อหาผ่าน HTTP ปกติโดยเฉพาะเพื่อให้สามารถแคชได้ แต่สำหรับเว็บไซต์จำนวนมากความปลอดภัยที่ดีกว่าเมื่อเทียบกับแบนด์วิดธ์ที่เพิ่มขึ้น


MITM เป็นกลไกที่ไม่จำเป็นต้องเป็นการโจมตี หากต้องถูกกำหนดว่าเป็นการโจมตี บริษัท ที่นับไม่ถ้วนกำลังโจมตีเจ้าหน้าที่ของพวกเขาพร้อมกับของปลอมและทำให้พวกเขาปวดหัวไม่รู้จบด้วยเครื่องมือที่ไม่ได้ใช้ที่เก็บใบรับรอง windows!
เบ็น

3

แม้การรับส่งข้อมูล HTTPS ที่ยากจะไม่สามารถนำมาพร็อกซีในแง่เข้มงวด ('สาเหตุมิฉะนั้นซอฟต์แวร์พร็อกซีจะทำหน้าที่เป็น " คนที่อยู่ตรงกลาง " ซึ่งเป็นหนึ่งในเหตุผลที่ SSL ได้รับการพัฒนาเพื่อหลีกเลี่ยง ) เพื่อสังเกตว่าพร็อกซีซอฟต์แวร์ทั่วไป (เช่น SQUID) สามารถจัดการการเชื่อมต่อ HTTPS ได้อย่างถูกต้อง

นี่คือขอบคุณไปได้ที่จะHTTP CONNECT วิธีที่ปลาหมึกใช้อย่างถูกต้อง กล่าวอีกนัยหนึ่งสำหรับคำขอ HTTPS ใด ๆ ที่พร็อกซีได้รับก็เพียงแค่ "ส่งต่อ" โดยไม่มีการแทรกแซงที่ห่อหุ้มและเข้ารหัสการรับส่งข้อมูล

แม้ว่าในตอนแรกสิ่งนี้จะฟังดูไร้ประโยชน์ แต่ก็อนุญาตให้มีการกำหนดค่าไคลเอนต์ / เบราว์เซอร์ในเครื่องให้ชี้ไปที่พร็อกซีและในเวลาเดียวกันก็สามารถตัดการเชื่อมต่ออินเทอร์เน็ตในรูปแบบใดก็ได้

ดังนั้นกลับไปที่คำถามเดิมของคุณ: " การรับส่งข้อมูล HTTPS ในที่สุดจะทำให้เว็บแคชพร็อกซีเซิร์ฟเวอร์ล้าสมัยหรือไม่ " คำตอบของฉันคือ:

  • ใช่ : ถ้าคุณใช้เว็บพรอกซีในแง่ของการแคชเท่านั้น
  • ไม่ : ถ้าคุณพึ่งพาเว็บพร็อกซีสำหรับสิ่งอื่นนอกเหนือจากการแคช (เช่นการตรวจสอบผู้ใช้การบันทึก URL ฯลฯ )

PS: ปัญหาที่คล้ายกัน / ที่สำคัญเกี่ยวกับ HTTPS เกี่ยวข้องกับชื่อโฮสต์เสมือนที่ใช้มัลติฮันติ้งซึ่งเป็นเรื่องปกติในโซลูชันการโฮสต์เว็บ แต่ .... มีความซับซ้อนเมื่อจัดการกับไซต์ HTTPS (ฉันไม่ได้พูดถึงในรายละเอียด ' มันไม่เกี่ยวข้องกับคำถามนี้อย่างเคร่งครัด)



2
พร็อกซีไม่สามารถทำการบันทึก URL ของ HTTPS ได้เนื่องจาก URL นั้นได้รับการเข้ารหัสด้วย (ชื่อโฮสต์อาจไม่ได้รับการเข้ารหัสหากใช้ SNI แต่ URL ที่เหลือจะถูกเข้ารหัสเสมอ)
Markus Laire

0

https เอาชนะการรักษาความปลอดภัยบางประเภทซึ่งก่อนหน้านี้ใช้งานในพร็อกซี พิจารณาว่าปลาหมึกสามารถดักจับและแทนที่หน้าเว็บด้วยเนื้อหาท้องถิ่น (ฟีเจอร์ที่ฉันใช้บ่อยมาก) ฉันเคยจับลิงก์จากการค้นหาของ Google และให้พร็อกซีของฉันเปลี่ยนเส้นทางไปยังลิงก์โดยตรงซึ่งจะเป็นการเพิ่มความปลอดภัยโดยไม่เปิดเผยว่าลิงก์ใดที่ฉัน (หรือใครก็ตามในเน็ตท้องถิ่นของฉันที่เลือกใช้พรอกซี) ตามด้วย Google ด้วยการใช้ https Google ได้เอาชนะด้านความปลอดภัยของฉัน (ซึ่งแน่นอนว่าเป็นคนที่อยู่ในการโจมตีระดับกลาง) ตอนนี้ฉันจะต้องแฮกรหัสเบราว์เซอร์ซึ่งเป็นวิธีที่พยายามมากขึ้น ... และผู้ใช้รายอื่นในครัวเรือนจะไม่สามารถใช้งานได้เว้นแต่พวกเขาจะยินดีที่จะเรียกใช้เบราว์เซอร์ที่ถูกแฮ็กในพื้นที่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.