¿Qué efecto tiene el tráfico https en los servidores proxy de caché web?

25

Acabo de tomar dos cursos universitarios sobre seguridad informática y programación de internet. Estaba pensando en esto el otro día:

Los servidores proxy de caché web almacenan en caché el contenido popular de los servidores en la web. Esto es útil, por ejemplo, si su empresa tiene una conexión de red de 1 Gbps internamente (incluido un servidor proxy de caché web), pero solo una conexión a Internet de 100 Mbps. El servidor proxy de caché web puede servir contenido en caché mucho más rápidamente a otras computadoras en la red local.

Ahora considere las conexiones cifradas con TLS. ¿Se puede almacenar en caché el contenido cifrado de alguna manera útil? Hay una gran iniciativa de letsencrypt.org con el objetivo de cifrar todo el tráfico de Internet a través de SSL de forma predeterminada. Lo están haciendo al hacer que sea realmente fácil, automatizado y gratuito obtener certificados SSL para su sitio (a partir del verano de 2015). Teniendo en cuenta los costos anuales actuales para los certificados SSL, GRATIS es realmente atractivo.

Mi pregunta es: ¿el tráfico HTTPS eventualmente hará que los servidores proxy de caché web sean obsoletos? Si es así, ¿qué costo tendrá esto en la carga del tráfico global de Internet?

proxy https cache tls ejsuncy
fuente
44
Hay una empresa comercial de confianza que durante algunos años ha ofrecido certificados gratuitos para un dominio y un subdominio. Si bien aprecio mucho los esfuerzos del proyecto Let's Encrypt, especialmente lo fácil que quieren hacerlo, el buen karma que siento que Startcom ha generado debe ser reconocido.
Paul
1
Esta pregunta casi se lee como un anuncio en este momento con las referencias a Let's Encrypt.
fukawi2
@Paul StartCom se vendió a WoSign, una empresa que tiene certificados anteriores en violación de los requisitos de referencia.
Damian Yerrick
1
@DamianYerrick Lo siento, te decepcioné con mi falta de clarividencia. (El comentario fue dejado antes del descubrimiento por Mozilla.)
Paul
Posible duplicado de ¿Hay alguna forma de almacenar en caché las solicitudes HTTPS en un servidor proxy?
Dan Dascalescu

Respuestas:

18

Sí, los HTTP pondrán un freno a la memoria caché de la red.

Específicamente porque el almacenamiento en caché de HTTP requiere hacer un hombre en el ataque de tipo medio: reemplazar el certificado SSL con el del servidor de caché. Ese certificado tendrá que ser generado sobre la marcha y firmado por una autoridad local.

En un entorno corporativo, puede hacer que todas las PC confíen en sus certificados de servidor de caché. Pero otras máquinas darán errores de certificado, que deberían. Un caché malicioso podría modificar las páginas fácilmente.

Sospecho que los sitios que usan grandes cantidades de ancho de banda como la transmisión de video aún enviarán contenido a través de HTTP regular específicamente para que pueda almacenarse en caché. Pero para muchos sitios, una mejor seguridad supera el aumento del ancho de banda.

Conceder
fuente
MITM es un mecanismo, no necesariamente un ataque. Si debe definirse como un ataque, ¡innumerables compañías están atacando a su personal, con certificados falsos y les traen dolores de cabeza interminables con herramientas que no usan el almacén de certificados de Windows!
Ben
3

Incluso el tráfico HTTPS difícil no puede ser proxy en un sentido estricto (porque, de lo contrario, el software proxy actuará como un " hombre en el medio ", esa es exactamente una de las razones por las que se ha desarrollado SSL, para evitar ), es importante para señalar que los proxies de software comunes (como SQUID) pueden manejar correctamente las conexiones HTTPS.

Esto es posible gracias al MÉTODO DE CONEXIÓN HTTP , que SQUID implementa correctamente . En otras palabras, para cualquier solicitud HTTPS que reciba el proxy, simplemente la "retransmite", sin ninguna intervención en el tráfico encriptado y encapsulado.

Incluso si al principio esto suena inútil, permite tener clientes / navegadores locales configurados para apuntar a un proxy y, al mismo tiempo, cortar cualquier forma de conectividad a Internet.

Entonces, volviendo a su pregunta original: " ¿el tráfico HTTPS eventualmente hará que los servidores proxy de caché web sean obsoletos? ", Mi respuesta es:

  • : si confía en un proxy web solo en términos de almacenamiento en caché;
  • NO : si confía en un proxy web para otras cosas que no sean el almacenamiento en caché (por ejemplo: autenticación de usuario; registro de URL; etc.).

PD: un problema similar / importante con HTTPS se relaciona con el multihoming de host virtual basado en nombres, que es común en las soluciones de alojamiento web pero ... se vuelve complejo cuando se trata con sitios HTTPS (no estoy discutiendo en detalles, porque no está estrictamente relacionado con esta pregunta).

Damiano Verzulli
fuente
2
el proxy no puede hacer el registro de URL de HTTPS ya que las URL también están encriptadas (el nombre de host puede estar encriptado, si se usa SNI, pero el resto de la URL siempre está encriptada)
Markus Laire
0

https derrota algunos tipos de seguridad que se implementaron previamente en servidores proxy. Tenga en cuenta que el calamar puede interceptar y reemplazar una página con contenido local (una característica que uso bastante). Solía ​​atrapar los enlaces de las búsquedas de Google y hacer que mi proxy redirija directamente al enlace, lo que aumenta mi seguridad al no divulgar qué enlaces seguí (o cualquier otra persona en mi red local que eligió usar el proxy) a Google. Al usar https, Google ha derrotado este aspecto de mi seguridad (que era, por supuesto, un hombre en el medio del ataque). Ahora tendría que hackear el código del navegador, que es mucho más esfuerzo ... y no está disponible para otros usuarios en el hogar a menos que ellos también estén felices de ejecutar navegadores pirateados localmente.

geyrfugl
fuente