Che effetto ha il traffico https sui server proxy della cache Web?

25

Ho appena seguito due corsi universitari sulla sicurezza informatica e la programmazione su Internet. Ci stavo pensando l'altro giorno:

I server proxy della cache Web memorizzano nella cache i contenuti più diffusi dai server sul Web. Ciò è utile, ad esempio, se la tua azienda dispone internamente di una connessione di rete da 1 Gbps (incluso un server proxy della cache Web), ma solo una connessione a 100 Mbps a Internet. Il server proxy della cache Web può servire il contenuto memorizzato nella cache molto più rapidamente ad altri computer sulla rete locale.

Ora considera le connessioni crittografate con TLS. Il contenuto crittografato può essere memorizzato nella cache in qualche modo utile? C'è una grande iniziativa di letsencrypt.org che mira a rendere tutto il traffico Internet crittografato su SSL per impostazione predefinita. Lo stanno facendo rendendo veramente facile, automatizzato e gratuito ottenere certificati SSL per il tuo sito (a partire dall'estate 2015). Considerando gli attuali costi annuali per certificati SSL, FREE è davvero interessante.

La mia domanda è: il traffico HTTPS alla fine renderà obsoleti i server proxy della cache Web? In tal caso, quale pedaggio avrà questo sul carico del traffico Internet globale?

proxy  https  cache  tls 
ejsuncy
fonte
4
Esiste una società commerciale di fiducia che da alcuni anni offre certificati gratuiti per un dominio e un sottodominio. Mentre apprezzo molto gli sforzi del progetto Let's Encrypt, in particolare la facilità con cui vogliono realizzarlo, il buon karma che sento che Startcom abbia generato dovrebbe essere riconosciuto.
Paul,
1
Questa domanda sembra quasi una pubblicità al momento con i riferimenti a Let's Encrypt.
fukawi2,
@Paul StartCom è andato esaurito a WoSign, una società che ha retrodatato i certificati in violazione dei Requisiti di base.
Damian Yerrick,
1
@DamianYerrick Mi dispiace di averti deluso dalla mia mancanza di chiaroveggenza. (Il commento è stato lasciato prima della scoperta di Mozilla.)
Paul,
Dan Dascalescu,

Risposte:

18

Sì, HTTPs metterà un freno alla memorizzazione nella rete.

Soprattutto perché la memorizzazione nella cache degli HTTP richiede l'attacco di un uomo di tipo intermedio - la sostituzione del certificato SSL con quello del server cache. Tale certificato dovrà essere generato al volo e firmato da un'autorità locale.

In un ambiente aziendale puoi fare in modo che tutti i PC si fidino dei certificati del tuo server cache. Ma altre macchine daranno errori di certificazione - che dovrebbero. Una cache dannosa potrebbe modificare facilmente le pagine.

Ho il sospetto che i siti che utilizzano grandi quantità di larghezza di banda come lo streaming video invieranno comunque contenuto su HTTP normale in modo specifico per poter essere memorizzato nella cache. Ma per molti siti una migliore sicurezza supera l'aumento della larghezza di banda.

Concedere
fonte
Il MITM è un meccanismo, non necessariamente un attacco. Se deve essere definito come un attacco, innumerevoli aziende stanno attaccando il loro personale, con certificati falsi e portando loro mal di testa senza fine con strumenti che non utilizzano l'archivio certificati di Windows!
Ben
3

Anche il traffico HTTPS difficile non può essere sottoposto a proxy in senso stretto (perché, altrimenti, il software proxy agirà come un " uomo nel mezzo ", che è esattamente uno dei motivi per cui SSL è stato sviluppato, per evitare ), è importante osservare che i proxy software comuni (come SQUID), possono gestire correttamente le connessioni HTTPS.

Ciò è possibile grazie al METODO HTTP CONNECT , che SQUID implementa correttamente . In altre parole, per qualsiasi richiesta HTTPS che il proxy riceve, semplicemente lo "inoltra", senza alcun intervento sul traffico incapsulato e crittografato.

Anche se all'inizio sembra inutile, consente di avere client / browser locali configurati per puntare a un proxy e, allo stesso tempo, tagliare qualsiasi forma di connettività Internet.

Quindi, tornando alla domanda originale: "il traffico HTTPS alla fine renderà obsoleti i server proxy della cache Web? ", La mia risposta è:

  • : se si fa affidamento su un proxy Web solo in termini di memorizzazione nella cache;
  • NO : se ti affidi a un proxy web per cose diverse dalla memorizzazione nella cache (ad esempio: autenticazione utente; registrazione URL; ecc.).

PS: un problema simile / grave con HTTPS riguarda il multihoming di host virtuale basato sul nome, che è comune nelle soluzioni di web hosting ma ... diventa complesso quando si tratta di siti HTTPS (non sto discutendo in dettaglio, perché non è strettamente correlato a questa domanda).

Damiano Verzulli
fonte
2
il proxy non è in grado di eseguire la registrazione degli URL di HTTPS poiché anche gli URL sono crittografati (il nome host potrebbe non essere crittografato, se si utilizza SNI, ma il resto dell'URL è sempre crittografato)
Markus Laire,
0

https sconfigge alcuni tipi di sicurezza precedentemente implementati nei proxy. Considera che calamari possono intercettare e sostituire una pagina con contenuti locali (una caratteristica che uso parecchio). Ho usato per catturare i collegamenti dalle ricerche di Google e avere il mio reindirizzamento del proxy direttamente sul collegamento, aumentando così la mia sicurezza non divulgando i collegamenti che io (o chiunque altro sulla mia rete locale che ho scelto di utilizzare il proxy) ho seguito a Google. Usando https, Google ha sconfitto questo aspetto della mia sicurezza (che era, ovviamente, un uomo nel mezzo dell'attacco). Ora dovrei hackerare il codice del browser, il che è molto più sforzo ... e non è disponibile per altri utenti della famiglia a meno che anche loro, siano felici di eseguire browser hackerati localmente.

geyrfugl
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.