En detalle, ¿cómo funciona la descarga / aceleración / terminación de SSL?

9

¿Qué es el mecanismo de trabajo en profundidad de la descarga / terminación de SSL? No pude encontrar literatura que pudiera profundizar lo suficiente en el tema.

Suponga el siguiente ejemplo, donde un intente descargar un recurso en el servidor web (el cliente no sabe que hay un terminador SSL instalado).

Cliente +++++++++++ (terminador SSL) ······ Servidor web

Preguntas:

  • ¿Establece el cliente la conexión TCP al terminador SSL o al servidor web?
  • ¿El terminador SSL afecta la conexión TCP de alguna manera?

Si hay material en línea que explica esto, indíquelo. ¡Gracias!

    
pregunta nico 21.01.2015 - 00:44
fuente

2 respuestas

8

Hay dos sesiones:

Cliente < ==== 1 ==== > SSL Terminator < ==== 2 ==== > Servidor web

Cada uno de ellos es una sesión TCP.

La sesión 1 es SSL sobre TCP, y la sesión 2 es simple TCP.

SSL Terminator tiene un hardware dedicado que acelera el proceso de cifrado / descifrado SSL (en general, el cifrado se "descarga" a tarjetas especializadas). Debido a que este hardware especial es menos fácil de usar en el servidor web, el terminador SSL llena un nicho.

Algunas lecturas relacionadas:

respondido por el gowenfawr 21.01.2015 - 01:38
fuente
3
  

¿El cliente establece la conexión TCP con el terminador SSL o   al servidor web?

Con la descarga SSL habilitada, el cliente realiza una conexión SSL con el terminador de SSL, luego el tráfico no cifrado se pasa al servidor web desde el terminador de SSL. Si la descarga de SSL está desactivada, el tráfico de SSL se pasa directamente al servidor web (transferencia de SSL). Tenga en cuenta que, normalmente, el servidor web está configurado para ejecutarse en un puerto diferente al 443 (81, 8181, 4433, etc., a una IP interna o IP, según su configuración).

  

¿El terminador de SSL afecta a la conexión TCP de alguna manera?

La modificación de la conexión depende de la configuración del terminador SSL. Ejemplo: si habilita los análisis, la inspección profunda de paquetes o la eliminación de los datos maliciosos detectados o si tiene ciertas reglas configuradas para permitir solo el tipo de tráfico que desea, pueden ocurrir modificaciones antes de que el tráfico pase al servidor web o se devuelva al cliente desde el servidor web o terminador SSL.

Esto puede hacer que el terminador SSL elimine todo lo que no cumpla con sus requisitos, agregue cookies especiales para el equilibrio de carga, seguridad, inyecte JavaScript para análisis u otras opciones predefinidas que haya configurado. También tenga en cuenta que, incluso si la transferencia de SSL está habilitada / inhabilitada, según los parámetros de configuración, los paquetes TCP pueden o no modificarse antes de enviarse al servidor web.

    
respondido por el ITOps 21.01.2015 - 01:37
fuente

Lea otras preguntas en las etiquetas