प्रॉक्सी सर्वर में HTTPS अनुरोधों को कैश करने का कोई तरीका है?

12

हम अपने वातावरण में स्क्वीड प्रॉक्सी सर्वर का उपयोग कर रहे हैं और हम HTTPS अनुरोधों को कैश करना चाहते हैं।

HTTPS अनुरोधों को कैश करने के लिए स्क्वीड या सामान्य प्रॉक्सी सर्वर को कॉन्फ़िगर करने का कोई तरीका है?

proxy squid https

यह संभवत: सुरक्षा पर आधारित है

— टॉम ओ'कॉनर

1

बस स्पष्ट होने के लिए, क्या आप अपने स्वयं के सर्वर के एक समूह के सामने विद्रूप का उपयोग कर रहे हैं, या आप इसे अपने वर्कस्टेशन और इंटरनेट के बीच उपयोग कर रहे हैं?

— १

केवल स्पष्ट करने हेतु। आप अनुरोधों या प्रतिक्रियाओं को कैश करना चाहते हैं?

— Gqqnbig

12

ऐसा करने का एक तरीका है, लेकिन यह मूल रूप से HTTPS का उपयोग करने के कारणों के खिलाफ है।

यहाँ है कि आप इसे कैसे करेंगे।

उस साइट के लिए एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र बनाएं जिसे आप इंटरसेप्ट करना चाहते हैं और अनुरोधों को कैश कर सकते हैं।
अपने प्रॉक्सी सर्वर पर स्टनलाइन स्थापित करें और चलाएं, यह बताते हुए कि यह जो प्रमाण पत्र प्रस्तुत करना चाहिए वह चरण 1 में उत्पन्न होता है।
स्क्वीड को डिक्रिप्ट किए गए अनुरोधों को आगे बढ़ाएं।
दूसरी ओर अनुरोध को पुन: एन्क्रिप्ट करने के लिए आपको दूसरी तरफ स्टनलाइन की आवश्यकता हो सकती है, या खुलता है।

चेतावनियां:

आपके उपयोगकर्ता आपसे घृणा करेंगे। उस साइट पर हर एसएसएल अनुरोध एक अवैध प्रमाणपत्र विंडो प्रस्तुत करेगा।
आप शरारती चीजों को करने के लिए संभावित मुकदमों में खुद को उजागर कर रहे हैं। (IANAL)
आप केवल इसके लिए स्व-हस्ताक्षरित प्रमाणपत्र प्राप्त कर पाएंगे, क्योंकि SSL प्रमाणपत्र के लिए PKI वेब ऑफ़ ट्रस्ट कैसे काम करने वाला है। समझौतावादी सीए के बारे में कुछ नहीं कहना।

मैं आपको यह करने का सही विवरण नहीं दूंगा, क्योंकि क) मुझे लगता है कि यह कुछ अनैतिक है, और ख) यह आपके लिए बेहतर है कि आप इसे कैसे सीखें।

मैं आपको यह सुझाव देता हूं कि स्टनलाइन और मैन-इन-द-मिडिल हमले कैसे काम करते हैं।

— टॉम ओ'कॉनर
स्रोत

आप Trustwave पूछ सकते zdnet.com/... बिना तो आप इस समाधान को लागू कर सकते हैं मूल प्रमाणपत्र बेचने के लिए असुविधाजनक पी: अपने उपयोगकर्ताओं

— रोरी

2

वास्तव में, यदि आप एक डोमेन पर हैं, तो अपने स्वयं के CA उत्पन्न करना और समूह नीति के साथ इसके लिए सार्वजनिक प्रमाणपत्रों को तैनात करना बहुत आसान है।

— टॉम ओ'कॉनर

1

SSC + MITM पर भरोसा करना प्रोटोकॉल डिबगिंग, कैशिंग, डीप पैकेट निरीक्षण और सेंसरशिप / लॉगिंग के लिए उपयोगी है। : / उन कारणों के अलावा, इतना अच्छा नहीं है।

6

बस यह समझाने के लिए कि यह MITM के बिना क्यों नहीं किया जा सकता है - एक प्रॉक्सी केवल उस सर्वर का DNS नाम देखता है जिसे आप एन्क्रिप्टेड HTTPS का उपयोग करते समय कनेक्ट करना चाहते हैं। यह न तो URL देखता है, न ही कोई प्रतिक्रिया हेडर। यह निर्धारित नहीं किया जा सकता है कि आप किसी साइट पर कौन से व्यक्तिगत संसाधन का उपयोग कर रहे हैं, यह अस्वीकार्य है या नहीं, और न ही यह संशोधित समय है। यह सब देख सकता है कि कोई व्यक्ति HTTPS का उपयोग कर रिमोट सर्वर से कुछ चाहता है।

इसका मतलब यह है कि कैशिंग काम नहीं कर सकता क्योंकि प्रॉक्सी को पता नहीं है कि आपको किन वस्तुओं को देना है, या उन्हें पहले स्थान पर कैसे प्राप्त करना है।

— robf
स्रोत

5

नहीं, वहाँ नहीं हैं: वे एन्क्रिप्टेड हैं ... एक वर्कअराउंड मैन-इन-मिडिल परिनियोजन की तरह कुछ होगा , लेकिन वह https के पीछे के सभी कारणों को हरा देगा ।

— yrk
स्रोत

1

क्या इसे हासिल करने के लिए कोई वर्कअराउंड नहीं है या प्रॉक्सी सर्वर को डिक्रिप्ट और कैश करने के लिए मजबूर करना है?

— सुप्रतीक

वर्कअराउंड कुछ man-in-middleऐसा होगा, जो रेज़ामैंबल्स की तैनाती करता है, लेकिन यह https के पीछे सभी कारणों को हरा देगा

— yrk

5

मैं असहमत हूं कि यह https के पीछे के सभी कारणों को हरा देगा। यदि आप घर पर ऐसा करते हैं और आप प्रॉक्सी के मालिक हैं, तो आपका डेटा अभी भी आपके प्रॉक्सी और वेब साइटों के बीच https का उपयोग करेगा।

— ब्रूनोस्क

@brunoqc यह वीपीएन का काम है।

— ११:१६ बजे

1

अगर किसी कारण से https पेलोड को कैशिंग करना महत्वपूर्ण है या किसी https सत्र को डिबग करना, MITM सुपर उपयोगी है। वास्तव में, यह चार्ल्स कैसे काम करता है।

1

ज़ीउस (अब रिवरबेड्स) ZTM ट्रैफिक मैनेजर ऐसा कर सकता है क्योंकि यह http और https ट्रैफ़िक दोनों तरह से ट्रांसलेट कर सकता है और कैश अनएन्क्रिप्टेड कंटेंट - यह काम करता है, हम इसका इस्तेमाल करते हैं, लेकिन यह डरावना है - प्रति सर्वर एक पॉश्चर की कीमत में।

— Chopper3
स्रोत

5

लेकिन यह अभी भी आपको क्लाइंट पर एक नया रूट प्रमाणपत्र स्थापित करने की आवश्यकता है, है ना? और आपको अभी भी प्रॉक्सी पर भरोसा करना है, क्या आप नहीं?

— १hag: