3 votes

TheLQ avatar

Comment les serveurs proxy filtrent-ils les sites web en https?

Demandé el 2 de Juin, 2011
Quand la question a-t-elle été
7552 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Avec mes connaissances limitées sur HTTPS, je me suis demandé : comment les serveurs proxy filtrent-ils les sites HTTPS ? Je veux dire, l'ajout d'un serveur proxy est essentiellement une attaque MITM, ce contre quoi HTTP était explicitement censé prévenir.

La seule façon à laquelle je puisse penser est de bloquer le serveur par son IP et son port. Cependant, avec des choses comme SNI et des certificats génériques, cela signifie que vous pourriez bloquer du contenu légitime (supposons qu'un site devant être bloqué partage une IP avec un site qui doit être disponible dans cette situation).

Que fait-on alors ? Vous ne pouvez pas lire le contenu de la connexion car il est chiffré ; tout ce que vous savez, c'est qu'il est très probable que quelqu'un envoie une requête HTTPS à une certaine adresse IP.

Demandé el 2 de Juin, 2011 par TheLQ

Réponses

Trop de publicités?

6voto

jammus avatar
jammus Points 1796

Comment les serveurs proxy filtrent-ils les sites HTTPS?

ce n'est pas très facile. Vous avez quelques mauvais choix, chacun avec ses propres problèmes.

Vous pouvez le faire uniquement sur le NOM/IP transmis via la requête HTTP CONNECT. Cela signifie que vous risquez d'avoir beaucoup de faux positifs/négatifs.

Vous pouvez effectuer une attaque MITM. Avec quelques produits dans un environnement d'entreprise, une CA est configurée et doit être approuvée par les clients, et le serveur proxy crée des certificats au besoin afin que le client croie que tout va bien. Le proxy doit valider les certificats des sites auxquels l'utilisateur se connecte. Cela signifie également que si un site n'a pas de certificat SSL valide, il serait probablement complètement impossible pour un client de continuer à accéder au site. Je soupçonne que vous auriez également une plus grande chance de problèmes juridiques si vous faisiez cela.

Il est également possible d'exécuter un filtre sur la machine cliente, mais sauf si la machine cliente est vraiment verrouillée, cela ne fonctionnerait probablement pas très bien.

Cependant, avec des choses comme SNI et des certificats génériques, cela signifie que vous pourriez bloquer du contenu légitime

Si vous devez vraiment filtrer le SSL, vous devez presque certainement le faire comme une liste blanche, et non comme une liste noire. Donc vous autorisez les sites de confiance et bloquez les mauvais sites.

Répondu el 3 de Juin, 2011 par jammus (1796 Points )

4voto

frameworkninja avatar
frameworkninja Points 628

Le navigateur sait qu'il se connecte à un proxy, il n'est pas vraiment "trompé". Il existe des proxies passifs que vous pouvez configurer, mais le navigateur saura que le proxy est là dès la première fois qu'il atteint une URL encryptée si le proxy ne fait pas simplement transiter le trafic tel quel. Souvent, la connexion au serveur proxy est soit toujours encryptée, soit toujours non encryptée, selon ce pour quoi le proxy et le navigateur sont configurés.

Si par proxy inverse, vous entendez un proxy qui agit comme le serveur cible et agit en tant que proxy (généralement pour des raisons de performance, de reprise sur incident ou d'équilibrage de la charge) vers un serveur backend; le proxy doit être spécialement configuré avec les informations SSL pour pouvoir tromper le navigateur. Ces informations seront spécifiques à la destination, il ne peut pas simplement se faire passer pour n'importe quel serveur de destination. Dans ces cas également, la connexion entre le serveur backend et le proxy, et la connexion entre le navigateur et le client peuvent être encryptées, mais ce n'est pas nécessairement le cas, et elles ne dépendent pas nécessairement l'une de l'autre (bien que certains proxies puissent être configurés pour le faire).

Dans les deux cas, le proxy doit être configuré soit par votre réseau, soit par le réseau de destination. Le proxy sera conscient du contenu qui passe à travers lui, mais il n'y a pas de tiers impliqué, juste des extensions aux deux parties originales.

Répondu el 2 de Juin, 2011 par frameworkninja (628 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X