SSL Proxy
浏览:4030次 出处信息
以前写过一篇SSL Proxy的小的分析,在最近一次讨论中发现我还是了解的不够细致,这里描述的细致一些。
首先是定义一下应用场景:
SSL Client<--------------------------->SSL Server
首先是标准的SSL Client和Server进行通信。
SSL Client<-------------->MITM<------------->SSL Server
需求是:在其间加入中间人,劫持会话,生成两个SSL会话,从而可以获取明文数据,同时符合SSL标准,同时不用Client明确关注到中间人。
业界有两种实现:
1.SSL Forward Prxoy -- 正向代理
即代理Client。中间人生成自签名证书,Client要明确相信中间人的证书,这样中间人就不必将Server的证书发送给Client。
2.SSL Reverse Proxy -- 反向代理
即代理Server,要求Server的证书必须明确的配置在中间人上,这样中间人可以完全承担Server的加解密的功能。
从技术角度讲,潜在的还可以将Client的证书配置到中间人上,但是这是无法操作的。
即使是业界的实现也有一些局限:
1.两种实现所共有的局限是:Server不能对于Client进行身份验证,因为Client的私钥无法获取。
2.正向代理的另一个局限是,由于中间人是自签名证书,如果Client实现一定要验证Server证书合法性,则无法实现会话的劫持。
建议继续学习:
- SSL证书的分类(按功能) (阅读:9051)
- nginx 使用 ssl (阅读:6539)
- 解决linux下安装ssl后,apache重启时需要密码 (阅读:5310)
- SSL窃听攻击实操 (阅读:2863)
- 通过ssldump来分析ssl协议过程 (阅读:2724)
- 给Nginx配置一个自签名的SSL证书 (阅读:2439)
- Linux下自行颁发SSL证书 (阅读:1971)
- [Android]用WebView访问证书有问题的SSL网页 (阅读:1829)
- lihttpd ssl 配置 (阅读:1803)
- SSL多域名绑定证书的解决方案 (阅读:1763)
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
扫一扫订阅我的微信号:IT技术博客大学习
<< 前一篇:谁动了我的隐私 -- 隐私风险初探
后一篇:从对SAE的一次授权安全评估浅谈云安全 >>
文章信息
- 作者:appleleaf 来源: kernelchina blogs
- 标签: SSL
- 发布时间:2011-12-18 21:58:08
建议继续学习
近3天十大热文
- [67] Go Reflect 性能
- [67] Oracle MTS模式下 进程地址与会话信
- [67] 如何拿下简短的域名
- [61] IOS安全–浅谈关于IOS加固的几种方法
- [60] 图书馆的世界纪录
- [59] android 开发入门
- [59] 【社会化设计】自我(self)部分――欢迎区
- [56] 视觉调整-设计师 vs. 逻辑
- [49] 给自己的字体课(一)——英文字体基础
- [47] 界面设计速成