Finalização antecipada do SSL

1

Basta dizer que você está encerrando conexões SSL HTTP em um servidor intermediário como o Cloudflare, isso irá descriptografar os dados e, em seguida, encaminhá-los para o servidor para processamento. Qual é o ganho de desempenho de fazer isso? Se você descriptografar os dados no intermediário e enviá-los ao servidor, isso não significa que os dados podem ser detectados entre eles? E se você contornar isso fazendo uma conexão SSL adicional de intermediário para servidor, isso não cria uma sobrecarga tão grande que não há benefício de desempenho em terminar em um salto anterior em primeiro lugar?

    
por Peter 27.03.2014 / 00:45

3 respostas

2

TL; DR: Não.

O salto do CDN baseado na Internet (por exemplo, Cloudflare) precisa usar HTTPS ou não será seguro. Se você tivesse algo como uma VPN para o CDN, você poderia usar isso, ou há casos em que um proxy reverso interno é usado para encerrar SSL / TLS e, em seguida, o interno, por trás do firewall, hop para os servidores de origem reais é apenas HTTP. A menos que o Cloudflare permita que a conectividade VPN pareça servidores de origem, ele não será útil para o descarregamento de TLS (ainda é útil para outras coisas, como lidar com picos de tráfego e diminuir a latência). Basicamente: "SSL flexível" é não mais seguro do que "Off"; Se você precisar de TLS para o conteúdo que está veiculando, recomendo usar o "Full Strict" com o Cloudflare.

É importante notar que, nesse cenário, o Cloudflare é essencialmente um man-in-the-middle . Não é um ataque como tal, desde que você os autorizou, mas eles são capazes de fazer qualquer coisa que um invasor man-in-the-middle bem-sucedido possa fazer; é muito importante que você confie neles para executar seu papel corretamente! Isso é verdade sempre que o TLS é encerrado fora de sua esfera de controle.

    
por 27.03.2014 / 01:27
2

Um nó de borda CDN fornecerá ao cliente um tempo de configuração de conexão HTTPS reduzido se (provavelmente) estiver mais próximo do cliente do que o servidor de origem.

O outro ganho de desempenho vem do nó de borda CDN poder armazenar em cache a resposta do servidor de origem a uma determinada solicitação do cliente, para que a resposta armazenada em cache possa ser entregue subsequentemente a solicitações semelhantes de usuários finais locais, mais rapidamente do que se fosse entregue pelo servidor de origem.

No entanto, o nó de borda deve ter visibilidade da solicitação do cliente (chave de cache) e da resposta da origem correspondente (valor de cache). A terminação TLS é a única maneira de o nó de borda CDN ter a visibilidade necessária no túnel TLS.

Observe também que os nós de borda CDN geralmente podem ser configurados para (A) enviar HTTP simples de volta ao servidor de origem ou (B) usar HTTPS para formar uma segunda etapa de comunicação criptografada com o servidor de origem.

    
por 11.12.2015 / 00:12
0

O motivo pelo qual você precisa de terminação SSL antecipada em uma borda mais próxima do cliente porque aumenta o desempenho de estabelecer conexão para SSL, economizando em tempos de ida e volta. Mas por que o SSL tem esse problema? A conexão TCP normal não criptografada possui apenas 1 handshake. Isso significa uma viagem de ida e volta ao servidor de origem. Digamos que a viagem de ida e volta custa 70ms. Agora, a conexão SSL tem um handshake de 3 vias. Isso significa que o custo será de 3 viagens de ida e volta, o que aumentará a latência da solicitação para 210 ms. Ao usar a terminação SSL de CDN ou borda como essa, você está minimizando essa latência porque seu tempo de ida e volta será muito menor, resultando em um handshake SSL de 3 vias mais rápido se comparado ao servidor de origem.

    
por 26.08.2014 / 22:22

Tags