Qual o efeito do tráfego https nos servidores proxy de cache da web?

25

Acabei de fazer dois cursos universitários em segurança de computadores e programação na Internet. Eu estava pensando sobre isso outro dia:

Os servidores proxy de cache da Web armazenam em cache o conteúdo popular dos servidores na Web. Isso é útil, por exemplo, se sua empresa possui uma conexão de rede de 1 Gbps internamente (incluindo um servidor proxy de cache da web), mas apenas uma conexão de 100 Mbps com a Internet. O servidor proxy de cache da web pode servir conteúdo em cache muito mais rapidamente para outros computadores na rede local.

Agora considere as conexões criptografadas por TLS. O conteúdo criptografado pode ser armazenado em cache de alguma maneira útil? Existe uma grande iniciativa do letsencrypt.org com o objetivo de tornar todo o tráfego da Internet criptografado por SSL por padrão. Eles estão fazendo isso, tornando realmente fácil, automatizado e gratuito a obtenção de certificados SSL para o seu site (a partir do verão de 2015). Considerando os custos anuais atuais para certificados SSL, o FREE é realmente atraente.

Minha pergunta é: o tráfego HTTPS eventualmente tornará obsoletos os servidores proxy de cache da web? Em caso afirmativo, qual será o custo do tráfego global da Internet?

proxy https cache tls ejsuncy
fonte
4
Há uma empresa comercial confiável que há alguns anos oferece certificados gratuitos para um domínio e um subdomínio. Embora eu aprecie muito os esforços do projeto Let's Encrypt, especialmente a facilidade com que eles querem fazê-lo, o bom karma que eu sinto que a Startcom gerou deve ser reconhecido.
Paul
1
Essa pergunta quase parece um anúncio no momento com as referências a Let's Encrypt.
precisa saber é o seguinte
A @Paul StartCom se esgotou para a WoSign, uma empresa que possui certificados antigos em violação dos Requisitos da Linha de Base.
Damian Yerrick
1
@DamianYerrick Lamento desapontá-lo com a minha falta de clarividência. (O comentário foi deixado antes da descoberta pela Mozilla.)
Paul
Possível duplicata de Existe alguma maneira de armazenar em cache solicitações HTTPS em um servidor proxy?
Dan Dascalescu

Respostas:

18

Sim, os HTTPs reduzirão o cache da rede.

Especificamente porque o armazenamento em cache de HTTPs requer um ataque de tipo intermediário - substituindo o certificado SSL pelo do servidor de cache. Esse certificado deverá ser gerado dinamicamente e assinado por uma autoridade local.

Em um ambiente corporativo, você pode fazer com que todos os PCs confiem nos seus certificados de servidor de cache. Mas outras máquinas fornecerão erros de certificado - o que deveriam. Um cache malicioso pode modificar as páginas facilmente.

Suspeito que sites que usam grandes quantidades de largura de banda, como o streaming de vídeo, ainda enviem conteúdo sobre HTTP normal especificamente, para que possam ser armazenados em cache. Porém, para muitos sites, uma segurança melhor supera o aumento da largura de banda.

Conceder
fonte
MITM é um mecanismo, não necessariamente um ataque. Se deve ser definido como um ataque, inúmeras empresas estão atacando sua equipe, com certs falsos e trazendo-lhes dores de cabeça sem fim com ferramentas que não usam o armazenamento de certificados do Windows!
Ben
3

Mesmo o tráfego HTTPS difícil não pode ser proxy em sentido estrito (porque, caso contrário, o software proxy atuará como um " homem intermediário ", esse é exatamente um dos motivos pelos quais o SSL foi desenvolvido para evitar ), é importante para observar que proxies de software comuns (como SQUID), podem lidar corretamente com conexões HTTPS.

Isso é possível graças ao MÉTODO DE CONEXÃO HTTP , que o SQUID implementa corretamente . Em outras palavras, para qualquer solicitação HTTPS recebida pelo proxy, ele simplesmente "retransmite", sem nenhuma intervenção no tráfego criptografado e encapsulado.

Mesmo que a princípio isso pareça inútil, ele permite que clientes / navegadores locais configurem para apontar para um proxy e, ao mesmo tempo, cortem qualquer forma de conectividade com a Internet.

Então, voltando à sua pergunta original: " o tráfego HTTPS eventualmente tornará obsoletos os servidores proxy de cache da web? ", Minha resposta é:

  • SIM : se você confiar em um proxy da web apenas em termos de cache;
  • NÃO : se você confiar em um proxy da Web para outras coisas que não o armazenamento em cache (por exemplo: autenticação do usuário; registro de URL; etc.).

PS: um problema semelhante / principal com HTTPS está relacionado ao multihoming de host virtual baseado em nome, que é comum em soluções de hospedagem na web, mas ... fica complexo ao lidar com sites HTTPS (não estou discutindo em detalhes, porque não está estritamente relacionado a esta questão).

Damiano Verzulli
fonte
2
proxy não pode fazer URL-registro de HTTPS desde URLs também são criptografados (hostname pode ser criptografado, se estiver usando o SNI, mas o descanso de URL é sempre criptografado)
Markus Laire
0

https derrota alguns tipos de segurança que foram implementados anteriormente em proxies. Considere que o squid pode interceptar e substituir uma página pelo conteúdo local (um recurso que eu uso bastante). Eu costumava pegar os links das pesquisas do Google e meu proxy redirecionava diretamente para o link, aumentando assim minha segurança, não divulgando quais links eu (ou qualquer outra pessoa na minha rede local que optou por usar o proxy) segui para o Google. Ao usar o https, o Google derrotou esse aspecto da minha segurança (que obviamente era um homem no meio do ataque). Agora eu precisaria hackear o código do navegador, o que é muito mais difícil ... e não está disponível para outros usuários da casa, a menos que eles também estejam felizes em executar navegadores hackeados localmente.

geyrfugl
fonte