In che modo Web-proxy e Virtual-Hosting sono complicazioni per HTTPS?

Naviga le tue risposte
1

Durante lo studio di HTTPS e dei relativi protocolli di sicurezza del livello di trasporto (SSL / TLS), sono venuto a sapere che HTTPS soffre di due complicazioni: Web-Proxy e Virtual-Hosting .

Posso capire in che modo l'hosting virtuale potrebbe essere la complicazione per HTTPS. Ciò è dovuto al fatto che il protocollo di trasporto sottostante di HTTPS (SSL o TLS) emette un certificato singolo per combinazione IP / PORT, pertanto l'hosting di più siti su un singolo IP rappresenterebbe un problema durante l'implementazione di HTTPS. Tuttavia, non capisco davvero in che modo il proxy Web è un problema o una complicazione con HTTPS? Qualcuno per favore cancella il concetto. Grazie.

    
posta user1612078 03.04.2014 - 06:05
fonte

2 risposte

1

Web-proxy

Um, prova a guardare nella mia sfera di cristallo qui.

I proxy Web in generale non possono memorizzare nella cache il contenuto della connessione SSL, devono passare il traffico inalterato e non possono visualizzare il contenuto mentre lo attraversa.

Questo è cattivo per i seguenti motivi?

  • Traffico intenso sul tuo sito a causa della mancanza di memorizzazione nella cache (potrebbe essere in grado di alleviare con le impostazioni della cache di ottimizzazione, consentendo al browser di memorizzare correttamente nella cache).
  • Traffico elevato sul tuo proxy web a causa della mancanza di memorizzazione nella cache ... acquista un pipe o un proxy più grande.
  • Impossibile vedere il traffico del browser per i siti Web remoti che non controlli (potrebbero essere porno, virus, estrazioni di dati).
  • Una soluzione sgradevole a questo è installare il certificato nei PC che controlli e decrittografare e crittografare nuovamente il traffico al gateway per il tuo staff (man-in-the-middle le connessioni tra lo staff e i siti Web remoti).

Virtual Hosting-

Si noti che questo è solo un problema per le configurazioni semplici che utilizzano un singolo indirizzo IP e una singola installazione di Apache. Altre configurazioni sono:

  • Un host virtuale appropriato (Xen, VirtualBox, Virtual PC, ecc.) con il proprio indirizzo IP pubblico.
  • Server con più IP e una o due istanze Apache configurate correttamente.
  • Configurazione del proxy inverso con 2 indirizzi IP esterni reindirizzati a diversi daemon HTTPS su una casella in esecuzione su porte diverse.
  • Esiste un'estensione di HTTPS che consente più certificati SSL specificatamente per questo caso d'uso, non so quanto sia efficace in Server, Proxy e Browser.
risposta data 03.04.2014 - 07:21
fonte
1

I browser correnti supportano SNI (indicazione del nome del server), che invia il nome dell'host di destinazione all'interno del client iniziale hello. In questo modo è possibile avere diversi server https sullo stesso IP e gli attuali server http supportano questo. Ci sono ancora problemi con i non browser (strumenti e librerie SSL o interfacce SSL in varie lingue). Alcuni usano SNI per impostazione predefinita, altri devono abilitare esplicitamente SNI e altri nemmeno lo supportano.

Non vedo problemi con i proxy Web: il browser esegue semplicemente un tunnel CONNECT sull'host di destinazione tramite il proxy e il resto è https normale, incluso SNI.

    
risposta data 03.04.2014 - 07:10
fonte

Leggi altre domande sui tag

La mia applicazione WCF utilizza la crittografia dei messaggi con certificato a 2 vie - ha ancora bisogno di SSL? Forms Https su decine di domini