dedlfix: Sinn der Verschlüsselung nicht verstanden

Beitrag lesen

Tach!

Ist es möglich, für HTTPS einen Proxy zwischenzuschalten, so wie dies für HTTP möglich ist? Also, dass Dateien, die durch mehrere Clients zeitnah angefordert werden, gecached werden?

Ein Proxy ist ein Stellvertreter. Er ist eigentlich kein Zwischenspeicher. Es gibt jedoch einige Software, die beides vereint, Proxy und Web-Cache, aber auch anderes.

HTTPS leitet ein Proxy genauso weiter wie HTTP. Ein Proxy im eigentlichen Sinne verhält sich damit quasi wie ein Router, aber beschränkt auf bestimmte Anwendungsprotokolle (HTTP/HTTPS) und nicht allgemein für Netzwerkpakete.

Der Sinn, einen Proxy statt Routingregeln zu verwenden, ist üblicherweise, weil man weitere Funktionalität haben möchte. Zum Beispiel Zugangsbeschränkungen interner Nutzer auf bestimmte Teile des Webs.

Bei HTTPS schaltet der Proxy im einfachsten Falle auf Durchzug. Ohne die Verschlüsslung aufzubrechen, kennt er nur die IP-Adressen der beteiligten und - wenn SNI verwendet wird - auch den Hostnamen des Ziels. Damit sind seine Möglichkeiten sehr eingeschränkt. Man kann über solche Proxys über Port 443 eine ganze Menge andere Protokolle tunneln.

Soll der Proxy den Inhalt auswerten können, muss er die Verschlüsslung nach außen hin selbst übernehmen, nach innen hin entweder unverschlüsselt kommunizieren (dann aber logischerweise über HTTP) oder selbst verschlüsseln. Das passt aber den Browsern nicht, ohne denen händisch zu erklären, dass das verwendete Zertifikat vertrauenswürdig ist. Denn dieses Zertifikat wird sich nicht gegen die in den Browsern gespeicherte Liste vertrauenswürdiger Zertifikataussteller verifizieren lassen.

dedlfix.