¿Cómo web-proxy y Virtual-Hosting son complicaciones para HTTPS?

Navega tus respuestas
1

Mientras estudiaba HTTPS y los protocolos de seguridad de la capa de transporte relacionados (SSL / TLS), llegué a saber que HTTPS sufre de dos complicaciones: Web-Proxy y Virtual-Hosting .

Puedo entender cómo el alojamiento virtual podría ser la complicación de HTTPS. Esto se debe a que el protocolo de transporte subyacente de HTTPS (SSL o TLS) emite un certificado único por combinación de IP / PORT, por lo que alojar varios sitios en una sola IP realmente sería un problema al implementar HTTPS. Sin embargo, ¿realmente no entiendo cómo el proxy web es un problema o una complicación con HTTPS? Alguien por favor despeja el concepto. Gracias.

    
pregunta user1612078 03.04.2014 - 06:05
fuente

2 respuestas

1

Web-Proxy

Um, tratando de mirar mi bola de cristal aquí.

Los proxies web en general no pueden almacenar en caché el contenido de la conexión SSL, deben pasar el tráfico sin alterar y no pueden ver el contenido a medida que pasa.

¿Esto es malo por las siguientes razones?

  • Alto tráfico en su sitio debido a la falta de almacenamiento en caché (es posible que se alivie con la configuración de la caché de ajuste, lo que permite que el navegador se almacene en caché correctamente).
  • Alto tráfico en su proxy web debido a la falta de almacenamiento en caché ... compre una canalización o proxy más grande.
  • No se puede ver el tráfico del navegador para los sitios web remotos que no controlas (puede ser pornografía, virus, exfiltración de datos).
  • Una solución desagradable para esto es instalar su certificado en las PC que controla y descifrar y volver a cifrar el tráfico en la puerta de enlace para su personal (administre las conexiones entre su personal y sus sitios web remotos).

Virtual-Hosting

Tenga en cuenta que esto solo es un problema para configuraciones simples que utilizan una única dirección IP y una sola instalación de Apache. Otras configuraciones son:

  • Host virtual adecuado (Xen, VirtualBox, Virtual PC, etc.) con su propia dirección IP pública.
  • Servidor con múltiples IP y una o dos instancias de Apache configuradas correctamente.
  • Configuración de Proxy inverso con 2 direcciones IP externas redirigidas a diferentes Daemons HTTPS en una caja que se ejecuta en diferentes puertos.
  • Hay una extensión de HTTPS que permite múltiples certificados SSL específicamente para este caso de uso, no sé qué tan bien se implementa en servidores, proxies y navegadores.
respondido por el Andrew Russell 03.04.2014 - 07:21
fuente
1

Los navegadores actuales admiten SNI (indicación del nombre del servidor), que envía el nombre del host de destino dentro del cliente inicial. Por lo tanto, es posible tener diferentes servidores https en la misma IP y los servidores http actuales lo admiten. Todavía hay problemas con los no navegadores (herramientas y bibliotecas SSL o interfaces SSL en varios idiomas). Algunos utilizan SNI de forma predeterminada, otros necesitan habilitar explícitamente SNI y otros ni siquiera lo admiten.

No puedo ver ningún problema con los proxies web: el navegador simplemente hace un túnel CONECTAR al host de destino a través del proxy y el resto es https normal, incluido SNI.

    
respondido por el Steffen Ullrich 03.04.2014 - 07:10
fuente

Lea otras preguntas en las etiquetas

Cumplimiento de PCI en dos dominios Https se forma en decenas de dominios