Я только что прошел два университетских курса по компьютерной безопасности и интернет-программированию. Я думал об этом на днях:
Прокси-серверы веб-кэша кэшируют популярный контент с веб-серверов. Это полезно, например, если ваша компания имеет внутреннее сетевое подключение 1 Гбит / с (включая прокси-сервер веб-кэша), но только подключение к Интернету со скоростью 100 Мбит / с. Прокси-сервер веб-кэша может гораздо быстрее доставлять кэшированный контент другим компьютерам в локальной сети.
Теперь рассмотрим TLS-зашифрованные соединения. Может ли зашифрованный контент быть кэширован любым полезным способом? Letsencrypt.org предлагает отличную инициативу, направленную на то, чтобы по умолчанию шифровать весь интернет-трафик по SSL. Они делают это, делая по-настоящему простым, автоматизированным и бесплатным получение SSL-сертификатов для вашего сайта (начиная с лета 2015 года). Учитывая текущие годовые расходы на сертификаты SSL, БЕСПЛАТНО действительно привлекательно.
Мой вопрос: сделает ли HTTPS-трафик со временем прокси-серверы веб-кэша устаревшими? Если да, то как это повлияет на нагрузку глобального интернет-трафика?
Ответы:
Да, HTTPs ограничит кеширование сети.
В частности, потому что для кэширования HTTP требуется выполнить атаку среднего типа - заменить SSL-сертификат сертификатом сервера кеша. Этот сертификат должен быть создан на лету и подписан местным органом власти.
В корпоративной среде вы можете заставить все компьютеры доверять сертификатам вашего сервера кеша. Но другие машины будут выдавать ошибки сертификата - что они должны. Вредоносный кеш может легко изменять страницы.
Я подозреваю, что сайты, которые используют большие объемы полосы пропускания, такие как потоковое видео, будут по-прежнему отправлять контент по обычному HTTP, чтобы его можно было кэшировать. Но для многих сайтов лучшая безопасность перевешивает увеличение пропускной способности.
источник
Даже жесткий HTTPS-трафик не может быть проксирован в строгом смысле (потому что, в противном случае, прокси-программное обеспечение будет действовать как « человек посередине », что является одной из причин, по которым SSL был разработан, чтобы избежать ), это важно Отметим, что обычные программные прокси (такие как SQUID) могут правильно обрабатывать HTTPS-соединения.
Это возможно благодаря методу HTTP CONNECT , который SQUID правильно реализует . Другими словами, для любого HTTPS-запроса, который получает прокси, он просто «ретранслирует» его без какого-либо вмешательства в инкапсулированный, зашифрованный трафик.
Даже если поначалу это звучит бесполезно, это позволяет настроить локальные клиенты / браузеры так, чтобы они указывали на прокси-сервер, и в то же время обрезать любые формы подключения к Интернету.
Итак, вернемся к исходному вопросу: «Из-за чего HTTPS-трафик в конечном итоге сделает прокси-серверы веб-кэша устаревшими? », Мой ответ:
PS: похожая / основная проблема с HTTPS связана с множественной адресацией виртуальных хостов на основе имен, которая часто встречается в решениях для веб-хостинга, но .... усложняется при работе с сайтами HTTPS (я не буду подробно обсуждать, потому что это не строго связано с этим вопросом).
источник
https побеждает некоторые виды безопасности, которые ранее были реализованы в прокси. Учтите, что squid может перехватывать и заменять страницу локальным контентом (функция, которой я пользуюсь довольно часто). Раньше я ловил ссылки из поисков Google и перенаправлял мой прокси прямо на ссылку, повышая тем самым мою безопасность, так как не разглашал, по каким ссылкам я (или кто-либо другой в моей локальной сети, кто решил использовать прокси) перешел на Google. Используя https, Google победил этот аспект моей безопасности (который, конечно, был человеком в середине атаки). Теперь мне придется взломать код браузера, что требует гораздо больших усилий ... и недоступно для других пользователей в семье, если только они не будут рады запускать локально взломанные браузеры.
источник