web-dev-qa-db-ja.com

httpsトラフィックはWebキャッシュプロキシサーバーにどのような影響を与えますか?

コンピュータセキュリティとインターネットプログラミングに関する2つの大学のコースを受講しました。私は先日これについて考えていました:

Webキャッシュプロキシサーバーは、Web上のサーバーから人気のあるコンテンツをキャッシュします。これは、たとえば社内に1 Gbpsのネットワーク接続(Webキャッシュプロキシサーバーを含む)があり、インターネットへの接続が100 Mbpsしかない場合に役立ちます。 Webキャッシュプロキシサーバーは、キャッシュされたコンテンツをローカルネットワーク上の他のコンピューターにはるかに迅速に提供できます。

次に、TLS暗号化接続を検討します。暗号化されたコンテンツを何らかの方法でキャッシュできますか?デフォルトですべてのインターネットトラフィックをSSLで暗号化することを目的としたletsencrypt.orgからの素晴らしい取り組みがあります。彼らは、サイトのSSL証明書を本当に簡単に、自動化され、無料で取得できるようにすることでこれを行っています(2015年夏から)。 SSL証明書の現在の年間コストを考えると、FREEは本当に魅力的です。

私の質問は次のとおりです。HTTPSトラフィックにより、最終的にWebキャッシュプロキシサーバーは廃止されますかもしそうなら、これは世界のインターネットトラフィックの負荷にどのくらいの負担をかけますか?

proxyhttpscachetls
26
ejsuncy

はい、HTTPsはネットワークキャッシングを弱めます。

特に、HTTPSをキャッシュするには中間者攻撃を行う必要があるため、SSL証明書をキャッシュサーバーの証明書に置き換えます。その証明書はその場で生成され、地方自治体によって署名される必要があります。

企業環境では、すべてのPCにキャッシュサーバー証明書を信頼させることができます。ただし、他のマシンでは証明書エラーが発生します-必要があります。悪意のあるキャッシュにより、ページが簡単に変更される可能性があります。

ビデオストリーミングのように大量の帯域幅を使用するサイトでも、コンテンツをキャッシュできるように、通常のHTTP経由でコンテンツを送信するのではないかと思います。しかし、多くのサイトでは、帯域幅の増加よりもセキュリティの方が優れています。

18
Grant

厳しいHTTPSトラフィックであっても厳密にプロキシすることはできません(そうしないと、プロキシソフトウェアが「中間者」として機能するため、まさにその理由の1つですSSLはavoid)のために開発されましたが、一般的なソフトウェアプロキシ(SQUIDなど)は正しくHTTPS接続を処理します。

HTTP CONNECT METHOD により、これが可能になります SQUIDは正しく実装されます 。言い換えると、プロキシが受信するHTTPS要求については、カプセル化され暗号化されたトラフィックに介入することなく、単にそれを「リレー」します。

これは最初は役に立たないように思えても、プロキシをポイントするように構成されたローカルクライアント/ブラウザを使用できるようにすると同時に、インターネット接続のあらゆる形式を切断します。

したがって、元の質問に戻ります:「HTTPSトラフィックは最終的にWebキャッシュプロキシサーバーを廃止しますか?」、私の答えは:

  • [〜#〜]はい[〜#〜]:キャッシュに関してのみWebプロキシに依存している場合。
  • [〜#〜] no [〜#〜]:キャッシュ以外のもののためにWebプロキシに依存している場合(例:ユーザー認証; URL-ロギングなど)。

PS:HTTPSの同様/重大な問題は、名前ベースの仮想ホストマルチホーミングに関連します。これは、Webホスティングソリューションでは一般的ですが、HTTPSサイトを処理するときに複雑になります(原因については詳しく説明していません。この質問とは厳密には関係ありません)。

3
Damiano Verzulli

httpsは、以前プロキシに実装されていたある種のセキュリティを無効にします。 squidがページを傍受してローカルコンテンツで置き換える可能性があることを考慮してください(私が頻繁に使用する機能)。私は以前、Google検索からのリンクをキャッチし、プロキシをリンクに直接リダイレクトさせていたため、私(またはプロキシを使用することを選択したローカルネット上の他の誰)がGoogleをフォローしたかを明かさないことで、セキュリティを向上させました。 httpsを使用することで、Googleは私のセキュリティのこの側面(もちろん、中間者攻撃)を打ち負かしました。今、私はブラウザのコードをハッキングする必要があります。これははるかに手間がかかります...そして、家庭内の他のユーザーも、ローカルでハッキングされたブラウザを実行して喜んでいない限り、利用できません。

0
geyrfugl