Что такое SSL Passthrough и как он работает?

Последнее обновление by Dionisie Gitlan

Настройка SSL для веб-серверов может быть сложной, и в зависимости от конфигурации Вашего сервера можно использовать различные методы. Одним из таких вариантов является SSL/TLS Passthrough, который позволяет обойти необходимость расшифровки и повторного шифрования данных на сервере-посреднике, сохраняя сквозное шифрование.

В этой статье мы рассмотрим SSL Passthrough, его преимущества, недостатки и отличия от других конфигураций SSL, а также дадим четкое представление о его роли в защите веб-соединений.

Оглавление

  1. Что такое SSL Passthrough?
  2. Как работает SSL Passthrough?
  3. Преимущества SSL Passthrough
  4. Недостатки SSL Passthrough
  5. Как настроить SSL Passthrough?
  6. SSL Passthrough против SSL Offloading
  7. SSL Passthrough против SSL Termination
  8. SSL Bridging vs SSL Passthrough

Что такое SSL Passthrough?

SSL Passthrough – это сетевая конфигурация, которая обеспечивает сквозную безопасность, перенаправляя зашифрованный трафик непосредственно от клиента к внутреннему серверу через балансировщик нагрузки или прокси-сервер. В отличие от SSL-терминирования, которое предполагает расшифровку трафика на балансировщике нагрузки, SSL Passthrough сохраняет конфиденциальность и целостность конфиденциальных данных без расшифровки на уровне распределителя трафика.

Если Вы не знакомы с балансировщиками нагрузки, то это устройства или программное обеспечение, равномерно распределяющее входящий сетевой трафик между несколькими внутренними серверами в публичной или частной сети, чтобы обеспечить эффективное использование ресурсов и предотвратить перегрузку какого-либо одного сервера.

Как работает SSL Passthrough?

SSL passthrough включает в себя следующие шаги:

  1. Клиент отправляет запрос: Клиент (например, веб-браузер) посылает запрос на доступ к веб-сайту.
  2. Прокси-сервер получает запрос: Запрос перехватывается прокси-сервером или балансировщиком нагрузки, который выступает в роли посредника.
  3. Определение безопасного соединения: Прокси-сервер распознает необходимость HTTPS (Hypertext Transfer Protocol Secure) соединения, на что указывают SSL-сертификаты.
  4. Установление SSL-соединения: Прокси-сервер инициирует SSL-соединение с клиентом без расшифровки данных.
  5. Пересылка запроса: Сервер-посредник пересылает зашифрованный запрос клиента на веб-сервер.
  6. Веб-сервер обрабатывает запрос: Веб-сервер получает и обрабатывает запрос, генерируя ответ.
  7. Ответ отправляется на прокси-сервер: Сервер отправляет ответ обратно на сервер-посредник.
  8. Пересылка ответа: Прокси-сервер пересылает зашифрованный ответ клиенту через указанное SSL-соединение.
  9. Клиент получает ответ: Клиент получает и обрабатывает зашифрованный ответ, завершая общение.

Прокси-сервер или балансировщик нагрузки обрабатывает зашифрованный HTTP-трафик между клиентом и веб-сервером, не расшифровывая данные. Такой подход обеспечивает конфиденциальность и целостность данных на протяжении всей коммуникации без дополнительной расшифровки и проверки.

Преимущества SSL Passthrough

Преимущества SSL Passthrough включают в себя повышенную безопасность данных, улучшенную производительность веб-сайта и удобство работы с ним. Он также значительно снижает нагрузку на сервер, повышая общую эффективность системы.

  • Повышенная безопасность данных: SSL Passthrough защищает конфиденциальные данные от хакеров, создавая безопасный туннель между Вашим устройством и сервером. Это не позволит никому прочитать Вашу конфиденциальную информацию.
  • Более быстрая работа сайта: SSL Passthrough помогает Вашему сайту загружаться быстрее, снимая бремя шифрования с сервера. Это означает, что больше людей могут одновременно посещать Ваш сайт, не замедляя его работу.
  • Снижение нагрузки на сервер: SSL Passthrough снижает нагрузку на Ваш сервер, обрабатывая шифрование в другом месте. В результате Ваш сервер сможет быстро отвечать на запросы даже в периоды большой загруженности.
  • Совместимость с приложениями: SSL Passthrough обеспечивает плавную интеграцию с различными приложениями и сервисами без модификаций и корректировок, гарантируя совместимость и простоту использования на различных платформах.
  • Экономия средств: Перекладывая расшифровку SSL на балансировщик нагрузки, SSL Passthrough может сэкономить Ваши деньги на ресурсах сервера и стоимости обслуживания, снижая нагрузку на Ваш сервер и продлевая срок его службы.

Недостатки SSL Passthrough

  • Сложная конфигурация: Настройка SSL Passthrough требует технических знаний и включает сложные процессы конфигурирования, в том числе настройку правил брандмауэра и решение проблем совместимости между версиями SSL/TLS и наборами шифров.
  • Скомпрометированный трафик: SSL Passthrough позволяет зашифрованному трафику напрямую достигать внутреннего сервера, а это значит, что скомпрометированный код в зашифрованном трафике может нанести потенциальный вред серверу.
  • Несовместимость с HTTP-профилями: SSL Passthrough не поддерживает HTTP-профили, которые представляют собой конфигурации, используемые для оптимизации HTTP-трафика. Это может привести к потенциальным ограничениям в управлении и оптимизации трафика.
  • Невозможность смены серверов: Процесс SSL Passthrough не поддерживает быструю смену серверов, что влияет на надежность системы и возможность обхода отказа.
  • Ограничения при использовании Cookie Persistence: Сохранение куки-файлов, метод, используемый для поддержания сеансов между клиентами и серверами, не может быть использован с SSL Passthrough, что потенциально может повлиять на управление сеансами и работу пользователей.

Как настроить SSL Passthrough?

Чтобы настроить SSL Passthrough для прокси-сервера или балансировщика нагрузки, выполните следующие действия:

  1. Выберите свой балансировщик нагрузки: Решите, будете ли Вы использовать аппаратное решение, как F5, или программное, как HAProxy или Nginx.
  2. Установите Ваш балансировщик нагрузки: Установите выбранный балансировщик нагрузки в своей сети.
  3. Настройте режимы TCP и HTTP: В настройках Вашего балансировщика нагрузки настройте режимы TCP (Transmission Control Protocol) и HTTP для фронтенда и бэкенда. Таким образом, балансировщик нагрузки обрабатывает трафик соответствующим образом.
  4. Включите SSL Passthrough: Найдите раздел ‘SSL/TLS’ в настройках Вашего балансировщика нагрузки и включите опцию ‘SSL Passthrough’. Он использует режим TCP для безопасной передачи зашифрованного трафика на внутренние серверы.
  5. Установите SSL-сертификаты на внутренних серверах: Хотя установка SSL-сертификата на балансировщик нагрузки не требуется для SSL Passthrough, убедитесь, что SSL/TLS-сертификаты установлены на внутренних серверах для защиты соединений.
  6. Укажите внутренние серверы: В разделе ‘Backend’ конфигурации балансировщика нагрузки введите IP-адреса внутренних серверов, на которые будет направляться SSL-шифрованный трафик.
  7. Сохраните и примените настройки: После того, как Вы настроили SSL Passthrough, указали внутренние серверы и обеспечили правильные режимы TCP и HTTP, сохраните настройки и примените их для активации.

SSL Passthrough против SSL Offloading

SSL Passthrough позволяет безопасному трафику проходить нетронутым непосредственно на сервер. Его функция заключается в том, что он не расшифровывает трафик и сохраняет оригинальное шифрование от клиента к серверу.

SSL Offloading отличается тем, что расшифровывает SSL-трафик на уровне балансировщика нагрузки. Этот метод разгружает сервер от обработки SSL-трафика, освобождая ресурсы и повышая производительность сервера. Он позволяет проверять трафик и обнаруживать вторжения. Однако он не обеспечивает сквозного шифрования.

Выбор между ними зависит от Ваших конкретных потребностей. Если сквозное шифрование имеет высокий приоритет, и Вас не так сильно беспокоит нагрузка на сервер, то SSL Passthrough может стать для Вас лучшим выбором.

SSL Passthrough против SSL Termination

Вы когда-нибудь задумывались, как SSL Passthrough сравнивается с SSL Termination? Выбирайте первый вариант, если для Вас скорость обработки трафика важнее его проверки и манипулирования им.

При использовании SSL Termination SSL-соединение заканчивается или “завершается” на балансировщике нагрузки. Трафик расшифровывается, проверяется, а затем отправляется на сервер в незашифрованном или заново зашифрованном виде.

Завершение SSL более требовательно к процессору, чем SSL Passthrough, но дает преимущество в управлении трафиком и применении таких функций безопасности, как защита от DDoS и WAF (Web Application Firewall).

SSL Bridging vs SSL Passthrough

SSL bridging, SSL termination и SSL offloading – эти термины часто используются как взаимозаменяемые, но в зависимости от контекста они могут иметь несколько разные значения.

SSL bridging расшифровывает SSL/TLS трафик на прокси-сервере или балансировщике нагрузки, прежде чем направить его на внутренний сервер. После расшифровки трафика прокси может проверить или изменить его, если это необходимо, прежде чем заново зашифровать его и отправить на внутренний сервер. SSL-мост обеспечивает видимость и контроль трафика на уровне прокси.

После обработки трафика балансировщик нагрузки повторно шифрует его с помощью собственного SSL-сертификата, а затем отправляет на внутренние серверы.

Используйте SSL Bridging для обнаружения и блокирования вредоносного трафика, внедрения маршрутизации на основе контента для направления запросов на определенные внутренние серверы в зависимости от их содержания или происхождения, а также для оптимизации, например, кэширования или сжатия.

Нижняя линия

В заключение, SSL Passthrough поддерживает безопасные, зашифрованные соединения, обходя процессы дешифрования. Несмотря на незначительные минусы, его преимущества, такие как сохранение сквозного шифрования и снижение нагрузки на серверы, весьма существенны.

Конфигурация может отличаться, но в целом процесс прост. Если сравнить SSL Offloading, Termination и Bridging, становится ясно, что каждый метод имеет свои уникальные применения. Ваше решение должно определять приоритеты конкретных потребностей и требований безопасности Вашей сети.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Сэкономьте 10% сейчас!
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.

Похожие посты
Как проверить сертификат с помощью команд OpenSSL в Linux?
Что такое OpenSSL? How Does OpenSSL Work?
Объяснение порта 443: Что это такое и зачем его использовать
Что такое сшивание OCSP и как его использовать?
Порт 443 против 80: чем они отличаются?