In dettaglio, come funziona la ripartizione / accelerazione / terminazione SSL?

9

Che cos'è il meccanismo di approfondimento dell'offload / terminazione SSL? Non sono riuscito a trovare la letteratura che si sarebbe immersa abbastanza profondamente nell'argomento.

Supponiamo che il seguente esempio, dove si intende scaricare una risorsa sul server web (il client non è a conoscenza che un terminatore SSL è installato).

Client ++++++++++ (terminatore SSL) ······ Webserver

Domande:

  • Il client stabilisce la connessione TCP al terminatore SSL o al server Web?
  • Il Terminator SSL influenza in qualsiasi modo la connessione TCP?

Se c'è del materiale in linea che lo spiega, per favore indicatelo. Grazie!

    
posta nico 21.01.2015 - 00:44
fonte

2 risposte

8

Ci sono due sessioni:

Client < ==== 1 ==== > SSL Terminator < ==== 2 ==== > Webserver

Ciascuno di questi è una sessione TCP.

La sessione 1 è SSL-over-TCP e la sessione 2 è semplicemente TCP.

SSL Terminator ha hardware dedicato che accelera il processo di crittografia / decrittografia SSL (comunemente 'criptaggio' viene "scaricato" su schede specializzate). Poiché questo speciale hardware è meno facilmente utilizzabile sul server web stesso, il Terminator SSL si riempie di nicchia.

Alcune letture correlate:

risposta data 21.01.2015 - 01:38
fonte
3

Does the client establish the TCP connection to the SSL terminator or to the Webserver?

Con SSL offload abilitato il client effettua una connessione SSL al terminatore SSL, quindi il traffico non crittografato viene passato al server web dal terminatore SSL. Se SSL Offload è disabilitato, il traffico SSL viene passato direttamente al server web (SSL pass-through). Nota anche che normalmente il webserver è configurato per funzionare su una porta diversa da 443 (81, 8181, 4433, ecc. A un IP o IP interno a seconda della configurazione).

Does the SSL Terminator affect the TCP connection in any way?

La modifica della connessione dipende dalla configurazione del terminatore SSL. Esempio: se abiliti l'analisi, l'ispezione approfondita dei pacchetti o l'eliminazione dei dati dannosi rilevati o l'impostazione di alcune regole per consentire solo il tipo di traffico desiderato, le modifiche possono verificarsi prima che il traffico venga passato al server Web o passato al client dal server web o terminatore SSL.

Ciò può causare il terminatore SSL di eliminare tutto ciò che non soddisfa i tuoi requisiti, aggiungere cookie speciali per bilanciamento del carico, sicurezza, iniettare JavaScript per l'analisi o altre opzioni predefinite che hai configurato. Inoltre, anche se il pass-through SSL è abilitato / disabilitato a seconda delle opzioni di configurazione, i pacchetti TCP possono essere modificati o meno prima di essere inviati al server web.

    
risposta data 21.01.2015 - 01:37
fonte

Leggi altre domande sui tag