Welche Auswirkung hat der https-Verkehr auf Proxy-Server im Web-Cache?

25

Ich habe gerade zwei Universitätskurse über Computersicherheit und Internet-Programmierung besucht. Ich habe neulich darüber nachgedacht:

Web-Cache-Proxyserver speichern häufig verwendete Inhalte von Servern im Web im Cache. Dies ist beispielsweise nützlich, wenn Ihr Unternehmen intern über eine 1-Gbit / s-Netzwerkverbindung verfügt (einschließlich eines Web-Cache-Proxyservers), aber nur über eine 100-Mbit / s-Verbindung zum Internet. Der Web-Cache-Proxyserver kann zwischengespeicherte Inhalte viel schneller an andere Computer im lokalen Netzwerk senden.

Betrachten Sie nun TLS-verschlüsselte Verbindungen. Können verschlüsselte Inhalte auf nützliche Weise zwischengespeichert werden? Es gibt eine großartige Initiative von letsencrypt.org, die darauf abzielt, den gesamten Internetverkehr standardmäßig über SSL zu verschlüsseln. Sie tun dies, indem sie es wirklich einfach, automatisiert und kostenlos machen, SSL-Zertifikate für Ihre Site zu erhalten (ab Sommer 2015). In Anbetracht der aktuellen jährlichen Kosten für SSL-Zertifikate ist FREE wirklich attraktiv.

Meine Frage ist: Macht HTTPS-Verkehr schließlich Web-Cache-Proxy-Server überholt? Wenn ja, wie hoch ist die Belastung des globalen Internetverkehrs?

Ejsuncy
quelle
4
Es gibt ein vertrauenswürdiges Handelsunternehmen, das seit einigen Jahren kostenlose Zertifikate für eine Domain und eine Subdomain anbietet. Während ich die Bemühungen des Let's Encrypt-Projekts sehr schätze, insbesondere wie einfach sie es machen wollen, sollte das gute Karma, das Startcom meiner Meinung nach erzeugt hat, anerkannt werden.
Paul
1
Diese Frage liest sich im Moment fast wie eine Werbung mit den Hinweisen auf Let's Encrypt.
fukawi2
@Paul StartCom war ausverkauft an WoSign, ein Unternehmen, das Zertifikate zurückdatiert hat, die gegen die Grundanforderungen verstoßen.
Damian Yerrick
1
@DamianYerrick Es tut mir leid, dass ich Sie mit meinem Mangel an Hellsehen enttäuscht habe. (Der Kommentar wurde vor der Entdeckung von Mozilla hinterlassen.)
Paul

Antworten:

18

Ja, HTTPs wirken sich negativ auf das Netzwerk-Caching aus.

Insbesondere, weil für das Zwischenspeichern von HTTPs ein Mann mittleren Grades erforderlich ist, der das SSL-Zertifikat durch das des Cache-Servers ersetzt. Dieses Zertifikat muss sofort erstellt und von einer lokalen Behörde unterschrieben werden.

In einer Unternehmensumgebung können Sie alle PCs dazu bringen, Ihren Cache-Server-Zertifikaten zu vertrauen. Aber andere Maschinen geben Zertifikatsfehler - was sie sollten. Ein böswilliger Cache kann die Seiten leicht ändern.

Ich vermute, dass Websites, die große Mengen an Bandbreite wie Video-Streaming verwenden, weiterhin Inhalte über reguläres HTTP senden, damit sie zwischengespeichert werden können. An vielen Standorten überwiegt jedoch die höhere Sicherheit die höhere Bandbreite.

Gewähren
quelle
MITM ist ein Mechanismus, nicht unbedingt ein Angriff. Wenn es als Angriff definiert werden muss, greifen unzählige Unternehmen ihre Mitarbeiter mit gefälschten Zertifikaten an und bereiten ihnen mit Tools, die den Windows-Zertifikatspeicher nicht verwenden, endlose Kopfschmerzen!
Ben,
3

Sogar starker HTTPS-Verkehr kann nicht im engeren Sinne übertragen werden (da die Proxy-Software ansonsten als " Mann in der Mitte " fungiert, was genau einer der Gründe ist, warum SSL entwickelt wurde, um dies zu vermeiden ), ist dies wichtig zu bemerken, dass gängige Software-Proxys (wie SQUID) HTTPS-Verbindungen korrekt verarbeiten können.

Dies ist möglich dank der HTTP CONNECT METHODE , die SQUID korrekt implementiert . Mit anderen Worten, für jede HTTPS-Anforderung, die der Proxy empfängt, wird sie einfach "weitergeleitet", ohne dass eingegriffen wird in gekapselten, verschlüsselten Datenverkehr.

Auch wenn dies zunächst unbrauchbar klingt, können lokale Clients / Browser so konfiguriert werden, dass sie auf einen Proxy verweisen, und gleichzeitig alle Formen der Internetverbindung unterbrechen.

Zurück zu Ihrer ursprünglichen Frage: " Wird der HTTPS-Verkehr dazu führen, dass Proxy-Server für den Web-Cache veraltet sind? ", Lautet meine Antwort:

  • JA : Wenn Sie sich nur im Hinblick auf das Caching auf einen Web-Proxy verlassen.
  • NEIN : Wenn Sie sich für andere Dinge als Caching auf einen Web-Proxy verlassen (z. B. Benutzerauthentifizierung, URL-Protokollierung usw.).

PS: Ein ähnliches / schwerwiegendes Problem mit HTTPS betrifft namenbasiertes Multihoming für virtuelle Hosts, das bei Webhosting-Lösungen üblich ist, aber beim Umgang mit HTTPS-Sites komplex wird (ich werde nicht im Detail darauf eingehen, weil es ist nicht eng mit dieser Frage verbunden).


Damiano Verzulli
quelle
2
Proxy kann keine URL-Protokollierung von HTTPS durchführen, da URLs ebenfalls verschlüsselt sind (Hostname ist möglicherweise unverschlüsselt, wenn SNI verwendet wird, der Rest der URL ist jedoch immer verschlüsselt)
Markus Laire
0

https besiegt einige Arten von Sicherheit, die zuvor in Proxys implementiert waren. Bedenken Sie, dass Squid eine Seite abfangen und durch lokalen Inhalt ersetzen kann (eine Funktion, die ich ziemlich oft benutze). Früher habe ich die Links von Google-Suchanfragen abgefangen und meinen Proxy direkt auf den Link umgeleitet. Dadurch wurde meine Sicherheit erhöht, indem ich nicht preisgab, welchen Links ich (oder jemand anderes in meinem lokalen Netz, der den Proxy verwendet hat) zu Google gefolgt bin. Durch die Verwendung von https hat Google diesen Aspekt meiner Sicherheit besiegt (was natürlich ein Mann war, der sich in der Mitte des Angriffs befand). Jetzt müsste ich den Browser-Code hacken, was viel mehr Aufwand bedeutet ... und anderen Benutzern im Haushalt nur dann zur Verfügung steht, wenn sie auch gerne lokal gehackte Browser ausführen.

geyrfugl
quelle