web-dev-qa-db-ja.com

具体的には、SSLオフロード/加速/終了はどのように機能しますか?

詳細 SSLオフロード/終了の仕組みは何ですか?私はその主題を十分に掘り下げるような文献を見つけることができませんでした。

がWebサーバーにリソースをダウンロードしようとしている次の例を想定します(クライアントはSSLターミネーターがインストールされていることを認識していません)。

クライアント++++++++++(SSLターミネーター)······ウェブサーバー

質問:

  • クライアントは[〜#〜] tcp [〜#〜] SSLターミネータまたはWebサーバーへの接続を確立していますか?
  • SSLターミネータはTCP接続に何らかの影響を及ぼしますか?

これを説明する資料がオンラインにある場合は、それを指摘してください。ありがとうございました!

9
nico

2つのセッションがあります。

クライアント<==== 1 ====> SSLターミネーター<==== 2 ====>ウェブサーバー

それらのそれぞれは、TCPセッションです。

セッション1はSSL-over-TCPであり、セッション2はプレーンTCPです。

SSLターミネーターには、SSL暗号化/復号化プロセスを高速化する専用ハードウェアがあります(通常、「暗号化は専用カードに「オフロード」されます)。この特別なハードウェアをWebサーバー自体で使用するのは簡単ではないため、SSLターミネーターはニッチを埋めます。

関連する読み物:

8
gowenfawr

クライアントはTCP SSLターミネータまたはWebサーバーへの接続を確立していますか?

SSLオフロードを有効にすると、クライアントはSSLターミネーターへのSSL接続を確立し、暗号化されていないトラフィックはSSLターミネーターからWebサーバーに渡されます。 SSLオフロードが無効になっている場合、SSLトラフィックは直接Webサーバーに渡されます(SSLパススルー)。また、通常、ウェブサーバーは443とは異なるポートで実行するように設定されていることに注意してください(構成に応じて、内部IPには81、8181、4333など)。

SSLターミネーターはTCP接続に何らかの影響を与えますか?

接続の変更は、SSLターミネーターの構成によって異なります。例:分析、ディープパケットインスペクション、または検出された悪意のあるデータのストリッピングを有効にするか、特定のルールを設定して必要なタイプのトラフィックのみを許可する場合、トラフィックがWebサーバーに渡される前、またはWebサーバーからクライアントに戻される前に変更が発生する可能性がありますまたはSSLターミネーター。

これにより、SSLターミネーターが要件を満たさないものを削除し、ロードバランシング、セキュリティ、分析用のJavaScriptの挿入、または構成済みの他の事前定義オプションのための特別なCookieを追加できます。また、設定オプションに応じてSSLパススルーが有効/無効になっている場合でも、TCPパケットは、Webサーバーに送信される前に変更される場合とされない場合があります。

3
ITOps