Saya baru saja mengikuti dua kursus universitas tentang keamanan komputer dan pemrograman internet. Saya memikirkan hal ini tempo hari:
Server cache server proxy cache konten populer dari server di web. Ini berguna, misalnya, jika perusahaan Anda memiliki koneksi jaringan 1 Gbps secara internal (termasuk server proxy cache web), tetapi hanya koneksi 100 Mbps ke internet. Server proxy cache web dapat menyajikan konten yang di-cache lebih cepat ke komputer lain di jaringan lokal.
Sekarang pertimbangkan koneksi terenkripsi TLS. Bisakah konten terenkripsi di-cache dengan cara yang bermanfaat? Ada inisiatif hebat dari letsencrypt.org yang bertujuan untuk membuat semua lalu lintas internet dienkripsi melalui SSL secara default. Mereka melakukan ini dengan membuatnya sangat mudah, otomatis, dan gratis untuk mendapatkan sertifikat SSL untuk situs Anda (mulai musim panas 2015). Mempertimbangkan biaya tahunan saat ini untuk sertifikat SSL, GRATIS sangat menarik.
Pertanyaan saya adalah: apakah lalu lintas HTTPS pada akhirnya membuat server proxy cache web menjadi usang? Jika demikian, berapa banyak tol yang akan diambil dari beban lalu lintas internet global?
Jawaban:
Ya, HTTPs akan meredam caching jaringan.
Khususnya karena caching HTTP mengharuskan dilakukannya seorang pria dalam serangan tipe menengah - mengganti sertifikat SSL dengan yang ada di server cache. Sertifikat itu harus dibuat dengan cepat dan ditandatangani oleh otoritas setempat.
Di lingkungan perusahaan Anda dapat membuat semua PC mempercayai sertifikat server cache Anda. Tetapi mesin lain akan memberikan kesalahan sertifikat - yang seharusnya. Cache berbahaya dapat memodifikasi halaman dengan mudah.
Saya menduga bahwa situs yang menggunakan bandwidth dalam jumlah besar seperti streaming video akan tetap mengirim konten melalui HTTP biasa secara khusus sehingga dapat di-cache. Tetapi untuk banyak situs, keamanan yang lebih baik lebih besar daripada peningkatan bandwidth.
sumber
Bahkan lalu lintas HTTPS yang sulit tidak dapat diproksi dalam arti yang ketat (karena, jika tidak, perangkat lunak proksi akan bertindak sebagai " orang di tengah ", itulah salah satu alasan SSL dikembangkan untuk menghindari ), penting untuk berkomentar bahwa proxy perangkat lunak umum (seperti SQUID), dapat dengan benar menangani koneksi HTTPS.
Ini dimungkinkan berkat METODE SAMBUNGAN HTTP , yang SQUID terapkan dengan benar . Dengan kata lain, untuk setiap permintaan HTTPS yang diterima proxy, itu hanya "menyampaikannya", tanpa intervensi pada lalu lintas terenkripsi dan terenkripsi.
Sekalipun pada awalnya ini terdengar tidak berguna, memungkinkan klien / browser lokal dikonfigurasikan untuk menunjuk ke proxy dan, pada saat yang sama, memotong segala bentuk konektivitas Internet.
Jadi, kembali ke pertanyaan awal Anda: " apakah lalu lintas HTTPS pada akhirnya akan membuat server proxy cache web menjadi usang? ", Jawaban saya adalah:
PS: masalah yang sama / utama dengan HTTPS berkaitan dengan multihoming virtual-host berbasis nama, yang umum dalam solusi hosting web tetapi .... semakin rumit ketika berhadapan dengan situs HTTPS (saya tidak membahas secara detail, karena ini tidak terkait langsung dengan pertanyaan ini).
sumber
https mengalahkan beberapa jenis keamanan yang sebelumnya diterapkan di proxy. Pertimbangkan bahwa squid dapat mencegat dan mengganti halaman dengan konten lokal (fitur yang saya gunakan cukup banyak). Saya biasa menangkap tautan dari pencarian Google dan meminta proxy saya mengarahkan langsung ke tautan, sehingga meningkatkan keamanan saya dengan tidak membocorkan tautan mana yang saya (atau siapa pun di jaringan lokal saya yang memilih untuk menggunakan proxy) diikuti ke Google. Dengan menggunakan https, Google telah mengalahkan aspek keamanan saya (yang, tentu saja, seorang pria di tengah serangan). Sekarang saya harus meretas kode peramban, yang merupakan upaya lebih ... dan tidak tersedia untuk pengguna lain di rumah kecuali jika mereka juga, senang menjalankan peramban yang diretas secara lokal.
sumber