Existe alguma maneira de armazenar em cache solicitações HTTPS em um servidor proxy?

Question

Existe alguma maneira de armazenar em cache solicitações HTTPS em um servidor proxy?

Navegue suas respostas

#1 resposta do (11 votos)
#2 resposta do (5 votos)
#3 resposta do (4 votos)
#4 resposta do (1 votos)

12

Estamos usando o servidor proxy do Squid em nosso ambiente e queremos armazenar em cache solicitações HTTPS.

Existe alguma maneira de configurar o Squid ou, em geral, um servidor proxy para armazenar solicitações HTTPS?

proxy https squid

por Supratik 18.01.2012 / 10:47

4 respostas

Tags proxy https squid

Não é possível instalar o GIT em um CentOS 6.0 x64 Obtém todos os registros DNS no servidor remoto?

score 11 · Answer 1

Existe uma maneira de fazer isso, mas é fundamentalmente contra as razões para o uso de HTTPS.

Veja como você faria isso.

Gere um certificado SSL autoassinado para o site que você deseja interceptar e armazenar em cache as solicitações de.
Instale e execute o stunnel em seu servidor proxy, informando que o certificado que ele deve apresentar é o gerado no estágio 1.
Solicite stunnel para encaminhar as solicitações descriptografadas para o squid.
Pode ser necessário ter o stunnel do outro lado ou o openssl_client para criptografar novamente o pedido para o servidor upstream.

Advertências:

Seus usuários vão te odiar. Cada solicitação SSL para esse site apresentará uma janela de certificado inválida.
Você está se expondo a potenciais ações judiciais por fazer coisas ruins. (IANAL)
Você só poderá obter um certificado autoassinado para isso, devido a como a rede de confiança PKI para Certificados SSL deve funcionar. Não dizendo nada sobre as autoridades de certificação raiz comprometidas.

Eu não vou lhe dar os detalhes exatos de como fazer isso, porque a) eu acho que é um pouco antiético, e b) É melhor para você para aprender como fazer isso.

Sugiro que você pesquise como os ataques stunnel e man-in-the-middle funcionam.

score 5 · Answer 2

Não, não há: eles são criptografados ... Uma solução alternativa seria algo como uma implantação man-in-middle , mas isso derrotaria todas as razões por trás do link .

score 4 · Answer 3

Apenas para explicar por que isso não pode ser feito sem o MITM - um proxy só vê o nome DNS do servidor ao qual você deseja se conectar ao usar o HTTPS criptografado. Não vê o URL nem os cabeçalhos de resposta. Ele não pode determinar qual recurso individual você está acessando em um site, se ele pode ser armazenado em cache, nem quais são os tempos de modificação. Tudo o que podemos ver é que alguém quer algo de um servidor remoto usando HTTPS.

Isso significa que o armazenamento em cache não pode funcionar porque o proxy não sabe o que os objetos armazenados em cache devem fornecer a você, ou como obtê-los em primeiro lugar.

score 1 · Answer 4

O Zeus (Now Riverbed's) ZTM Traffic Manager pode fazer isso, pois pode traduzir tráfego https e https nos dois sentidos e armazenar em cache conteúdo não criptografado - funciona, nós o usamos, mas é assustadoramente caro - como no preço de um Porsche por servidor .