Quel effet le trafic https a-t-il sur les serveurs proxy de cache Web?

25

Je viens de suivre deux cours universitaires sur la sécurité informatique et la programmation Internet. J'y pensais l'autre jour:

Les serveurs proxy de cache Web mettent en cache le contenu populaire des serveurs sur le Web. Cela est utile, par exemple, si votre entreprise dispose d'une connexion réseau de 1 Gbit / s en interne (y compris un serveur proxy de cache Web), mais uniquement d'une connexion de 100 Mbit / s à Internet. Le serveur proxy de cache Web peut servir le contenu mis en cache beaucoup plus rapidement à d'autres ordinateurs du réseau local.

Considérez maintenant les connexions cryptées TLS. Le contenu chiffré peut-il être mis en cache de manière utile? Il y a une excellente initiative de letsencrypt.org visant à rendre tout le trafic Internet crypté via SSL par défaut. Ils le font en facilitant, automatisant et gratifiant l'obtention de certificats SSL pour votre site (à partir de l'été 2015). Compte tenu des coûts annuels actuels des certificats SSL, FREE est vraiment attrayant.

Ma question est la suivante: le trafic HTTPS finira-t-il par rendre les serveurs proxy de cache Web obsolètes? Dans l'affirmative, quel sera le bilan de cette charge sur la charge du trafic Internet mondial?

proxy https cache tls ejsuncy
la source
4
Il existe une entreprise commerciale de confiance qui propose depuis quelques années des certificats gratuits pour un domaine et un sous-domaine. Bien que j'apprécie beaucoup les efforts du projet Let's Encrypt, en particulier la facilité avec laquelle ils veulent le faire, le bon karma que je pense que Startcom a généré devrait être reconnu.
Paul
1
Cette question se lit presque comme une publicité en ce moment avec les références à Let's Encrypt.
fukawi2
@Paul StartCom a vendu à WoSign, une entreprise qui a des certificats antidatés en violation des exigences de base.
Damian Yerrick
1
@DamianYerrick Je suis désolé de vous avoir déçu de mon manque de clairvoyance. (Le commentaire a été laissé avant la découverte par Mozilla.)
Paul
Duplication possible de Y a
Dan Dascalescu

Réponses:

18

Oui, HTTPs mettra un frein à la mise en cache réseau.

Spécifiquement parce que la mise en cache HTTP nécessite de faire une attaque de type intermédiaire - remplacer le certificat SSL par celui du serveur de cache. Ce certificat devra être généré à la volée et signé par une autorité locale.

Dans un environnement d'entreprise, vous pouvez faire en sorte que tous les PC fassent confiance à vos certificats de serveur de cache. Mais d'autres machines donneront des erreurs de certificat - ce qu'elles devraient faire. Un cache malveillant pourrait facilement modifier les pages.

Je soupçonne que les sites qui utilisent de grandes quantités de bande passante comme le streaming vidéo continueront d'envoyer du contenu via HTTP standard, afin qu'il puisse être mis en cache. Mais pour de nombreux sites, une meilleure sécurité l'emporte sur l'augmentation de la bande passante.

Subvention
la source
Le MITM est un mécanisme, pas nécessairement une attaque. Si cela doit être défini comme une attaque, d'innombrables entreprises attaquent leur personnel, avec de faux certificats et leur apportent des maux de tête sans fin avec des outils n'utilisant pas le magasin de certificats Windows!
Ben
3

Même le trafic HTTPS difficile ne peut pas être mandaté au sens strict (car, sinon, le logiciel proxy agira comme un " homme au milieu ", c'est exactement l'une des raisons pour lesquelles SSL a été développé, à éviter ), il est important de remarquer que les proxys logiciels courants (comme SQUID), peuvent gérer correctement les connexions HTTPS.

Ceci est possible grâce à la METHODE DE CONNEXION HTTP , que SQUID implémente correctement . En d'autres termes, pour toute demande HTTPS que le proxy reçoit, il suffit de la "relayer", sans aucune intervention sur un trafic encapsulé et crypté.

Même si au début cela semble inutile, cela permet d'avoir des clients / navigateurs locaux configurés pour pointer vers un proxy et, en même temps, de couper toutes les formes de connectivité Internet.

Donc, revenons à votre question initiale: " le trafic HTTPS finira-t-il par rendre les serveurs proxy de cache Web obsolètes? ", Ma réponse est:

  • OUI : si vous ne comptez sur un proxy Web qu'en termes de mise en cache;
  • NON : si vous comptez sur un proxy Web pour autre chose que la mise en cache (par exemple: authentification des utilisateurs; enregistrement des URL, etc.).

PS: un problème similaire / majeur avec HTTPS concerne le multihébergement d'hôte virtuel basé sur le nom, qui est courant dans les solutions d'hébergement Web, mais ... devient complexe lorsqu'il s'agit de sites HTTPS (je ne discute pas en détail, car ce n'est pas strictement lié à cette question).

Damiano Verzulli
la source
2
le proxy ne peut pas enregistrer les URL de HTTPS car les URL sont également chiffrées (le nom d'hôte peut être non chiffré, si vous utilisez SNI, mais le reste de l'URL est toujours chiffré)
Markus Laire
0

https défait certaines sortes de sécurité qui étaient précédemment implémentées dans les proxys. Considérez que le calmar peut intercepter et remplacer une page par du contenu local (une fonctionnalité que j'utilise beaucoup). J'avais l'habitude d'attraper les liens des recherches Google et de rediriger mon proxy directement vers le lien, augmentant ainsi ma sécurité en ne divulguant pas les liens que j'ai (ou toute autre personne sur mon réseau local qui a choisi d'utiliser le proxy) suivi vers Google. En utilisant https, Google a vaincu cet aspect de ma sécurité (qui était, bien sûr, un homme au milieu de l'attaque). Maintenant, je devrais pirater le code du navigateur, ce qui représente beaucoup plus d'efforts ... et n'est pas disponible pour les autres utilisateurs du foyer, à moins qu'ils ne soient également heureux d'exécuter des navigateurs piratés localement.

geyrfugl
la source