Die Konfiguration von SSL für Webserver kann sehr komplex sein, und je nach Einrichtung Ihres Servers stehen verschiedene Methoden zur Verfügung. Eine dieser Optionen ist SSL/TLS Passthrough, das die Notwendigkeit der Entschlüsselung und erneuten Verschlüsselung von Daten auf dem Zwischenserver umgeht und die Ende-zu-Ende-Verschlüsselung beibehält.
In diesem Artikel befassen wir uns mit SSL Passthrough, seinen Vorteilen, Nachteilen und den Unterschieden zu anderen SSL-Konfigurationen, um ein klares Verständnis seiner Rolle bei der Sicherung von Webverbindungen zu vermitteln.
Inhaltsübersicht
- Was ist SSL-Passthrough?
- Wie funktioniert der SSL-Passthrough?
- Vorteile von SSL Passthrough
- Nachteile von SSL Passthrough
- Wie konfiguriere ich den SSL-Passthrough?
- SSL-Passthrough vs. SSL-Offloading
- SSL-Passthrough vs. SSL-Terminierung
- SSL-Bridging vs. SSL-Passthrough
Was ist SSL-Passthrough?
SSL Passthrough ist eine Netzwerkkonfiguration, die die Ende-zu-Ende-Sicherheit aufrechterhält, indem der verschlüsselte Datenverkehr direkt vom Client zum Backend-Server über einen Load Balancer oder Proxy-Server weitergeleitet wird. Im Gegensatz zur SSL-Terminierung, bei der der Datenverkehr am Load Balancer entschlüsselt wird, bewahrt SSL Passthrough die Vertraulichkeit und Integrität sensibler Daten ohne Entschlüsselung auf der Ebene des Datenverteilers.
Wenn Sie mit Load Balancern nicht vertraut sind, handelt es sich um Geräte oder Software, die den eingehenden Netzwerkverkehr gleichmäßig auf mehrere Backend-Server in einem öffentlichen oder privaten Netzwerk verteilen, um eine effiziente Ressourcennutzung zu gewährleisten und eine Überlastung eines einzelnen Servers zu verhindern.
Wie funktioniert der SSL-Passthrough?
SSL-Passthrough umfasst die folgenden Schritte:
- Client sendet Anfrage: Ein Client (z. B. ein Webbrowser) sendet eine Anfrage zum Zugriff auf eine Website.
- Proxy-Server empfängt die Anfrage: Die Anfrage wird von einem Proxyserver oder Load Balancer abgefangen, der als Vermittler fungiert.
- Erkennung einer sicheren Verbindung: Der Proxy-Server erkennt die Notwendigkeit einer HTTPS-Verbindung (Hypertext Transfer Protocol Secure), die durch SSL-Zertifikate angezeigt wird.
- Herstellen der SSL-Verbindung: Der Proxy-Server initiiert einen SSL-Handshake mit dem Client, ohne die Daten zu entschlüsseln.
- Weiterleitung der Anfrage: Der Zwischenserver leitet die verschlüsselte Anfrage des Kunden an den Webserver weiter.
- Webserver verarbeitet Anfrage: Der Webserver empfängt und verarbeitet die Anfrage und erzeugt eine Antwort.
- Antwort wird an den Proxy-Server gesendet: Der Server sendet die Antwort an den Zwischenserver zurück.
- Antwort weiterleiten: Der Proxy-Server leitet die verschlüsselte Antwort über die angegebene SSL-Verbindung an den Client weiter.
- Der Client empfängt die Antwort: Der Client empfängt und verarbeitet die verschlüsselte Antwort und schließt damit die Kommunikation ab.
Der Proxy oder Load Balancer wickelt den verschlüsselten HTTP-Verkehr zwischen dem Client und dem Webserver ab, ohne die Daten zu entschlüsseln. Dieser Ansatz gewährleistet die Vertraulichkeit und Integrität der Daten während der gesamten Kommunikation ohne zusätzliche Entschlüsselung und Überprüfung.
Vorteile von SSL Passthrough
Zu den Vorteilen von SSL Passthrough gehören eine erhöhte Datensicherheit, eine bessere Website-Leistung und eine nahtlose Benutzererfahrung. Außerdem wird die Serverlast erheblich reduziert und die Effizienz des Systems insgesamt gesteigert.
- Erhöhte Datensicherheit: SSL Passthrough schützt vertrauliche Daten vor Hackern, indem es einen sicheren Tunnel zwischen Ihrem Gerät und dem Server herstellt. Es verhindert, dass jemand Ihre sensiblen Informationen lesen kann.
- Schnellere Website-Leistung: SSL Passthrough hilft Ihrer Website, schneller zu laden, indem es den Server von der Verschlüsselung entlastet. Das bedeutet, dass mehr Besucher gleichzeitig auf Ihre Website zugreifen können, ohne dass diese verlangsamt wird.
- Geringere Serverlast: SSL Passthrough entlastet Ihren Server, da die Verschlüsselung an anderer Stelle erfolgt. So kann Ihr Server auch in Stoßzeiten schnell auf Anfragen reagieren.
- Anwendungskompatibilität: SSL Passthrough ermöglicht eine reibungslose Integration mit verschiedenen Anwendungen und Diensten ohne Änderungen oder Anpassungen und gewährleistet so Kompatibilität und Benutzerfreundlichkeit auf verschiedenen Plattformen.
- Kosteneinsparungen: Durch die Auslagerung der SSL-Entschlüsselung an einen Load Balancer kann SSL Passthrough Ihnen Geld für Server-Ressourcen und Wartungskosten sparen, die Belastung Ihres Servers verringern und seine Lebensdauer verlängern.
Nachteile von SSL Passthrough
- Komplexe Konfiguration: Die Einrichtung von SSL Passthrough erfordert technisches Fachwissen und beinhaltet komplexe Konfigurationsprozesse, einschließlich der Anpassung von Firewall-Regeln und der Behandlung von Kompatibilitätsproblemen zwischen SSL/TLS-Versionen und Cipher Suites.
- Kompromittierter Datenverkehr: SSL Passthrough ermöglicht es, dass verschlüsselter Datenverkehr den Backend-Server direkt erreicht, was bedeutet, dass kompromittierter Code innerhalb des verschlüsselten Datenverkehrs den Server potenziell schädigen kann.
- Inkompatibilität mit HTTP-Profilen: SSL Passthrough unterstützt keine HTTP-Profile, bei denen es sich um Konfigurationen zur Optimierung des HTTP-Verkehrs handelt. Dies kann zu möglichen Einschränkungen bei der Verkehrsverwaltung und -optimierung führen.
- Untauglichkeit für Serverumstellungen: Der SSL-Passthrough-Prozess unterstützt keine schnellen Wechsel zwischen Servern, was sich auf die Systemzuverlässigkeit und die Failover-Fähigkeiten auswirkt.
- Einschränkungen bei der Cookie-Persistenz: Die Cookie-Persistenz, eine Methode zur Aufrechterhaltung von Sitzungen zwischen Clients und Servern, kann nicht mit SSL Passthrough verwendet werden, was sich möglicherweise auf die Sitzungsverwaltung und das Benutzererlebnis auswirkt.
Wie konfiguriere ich den SSL-Passthrough?
Führen Sie die folgenden Schritte aus, um SSL Passthrough für einen Proxy-Server oder Load Balancer zu konfigurieren:
- Wählen Sie Ihren Load Balancer: Entscheiden Sie, ob Sie eine hardwarebasierte Lösung wie F5 oder eine softwarebasierte wie HAProxy oder Nginx verwenden wollen.
- Installieren Sie Ihren Load Balancer: Installieren Sie den gewählten Load Balancer in Ihrem Netzwerk.
- Konfigurieren Sie die Modi TCP und HTTP: Konfigurieren Sie in den Einstellungen Ihres Load Balancers sowohl den TCP- (Transmission Control Protocol) als auch den HTTP-Modus für das Frontend und das Backend. Auf diese Weise kann der Load Balancer den Datenverkehr ordnungsgemäß abwickeln.
- Aktivieren Sie SSL Passthrough: Suchen Sie den Abschnitt “SSL/TLS” in den Einstellungen Ihres Load Balancers und aktivieren Sie die Option “SSL Passthrough”. Es nutzt den TCP-Modus, um verschlüsselten Datenverkehr sicher an die Backend-Server zu übermitteln.
- Installieren Sie SSL-Zertifikate auf Backend-Servern: Obwohl die Installation von SSL-Zertifikaten auf dem Load Balancer für SSL Passthrough nicht erforderlich ist, sollten Sie sicherstellen, dass SSL/TLS-Zertifikate auf den Backend-Servern installiert sind, um die Verbindungen zu sichern.
- Geben Sie Backend-Server an: Geben Sie im Abschnitt “Backend” der Load Balancer-Konfiguration die IP-Adressen der Backend-Server ein, an die der SSL-verschlüsselte Datenverkehr geleitet werden soll.
- Einstellungen speichern und anwenden: Sobald Sie SSL Passthrough konfiguriert, die Backend-Server angegeben und die richtigen TCP- und HTTP-Modi sichergestellt haben, speichern Sie Ihre Einstellungen und wenden Sie sie an, um sie zu aktivieren.
SSL-Passthrough vs. SSL-Offloading
Mit SSL Passthrough wird der sichere Datenverkehr direkt zum Server geleitet. Es funktioniert, indem es den Datenverkehr nicht entschlüsselt und die ursprüngliche Verschlüsselung vom Client zum Server beibehält.
SSL-Offloading unterscheidet sich durch die Entschlüsselung des SSL-Verkehrs auf der Ebene des Load Balancer. Diese Methode entlastet den Server von der Verarbeitung des SSL-Verkehrs, wodurch Ressourcen frei werden und die Serverleistung verbessert wird. Es ermöglicht die Überprüfung des Datenverkehrs und die Erkennung von Eindringlingen. Es bietet jedoch keine Ende-zu-Ende-Verschlüsselung.
Die Wahl zwischen den beiden hängt von Ihren spezifischen Bedürfnissen ab. Wenn die Ende-zu-Ende-Verschlüsselung eine hohe Priorität hat und Sie sich nicht so viele Gedanken über die Serverlast machen, ist SSL Passthrough vielleicht die beste Wahl für Sie.
SSL-Passthrough vs. SSL-Terminierung
Haben Sie sich jemals gefragt, wie sich SSL Passthrough mit SSL Termination vergleicht? Entscheiden Sie sich für die erste Variante, wenn Sie der Verarbeitungsgeschwindigkeit Vorrang vor der Überprüfung und Bearbeitung des Datenverkehrs einräumen.
Bei der SSL-Terminierung wird die SSL-Verbindung am Load Balancer beendet oder “terminiert”. Der Datenverkehr wird entschlüsselt, geprüft und dann unverschlüsselt oder erneut verschlüsselt an den Server gesendet.
Die SSL-Terminierung ist rechenintensiver als der SSL-Passthrough, bietet aber den Vorteil, den Datenverkehr zu verwalten und Sicherheitsfunktionen wie DDoS-Schutz und WAF (Web Application Firewall) anzuwenden.
SSL-Bridging vs. SSL-Passthrough
SSL-Bridging, SSL-Terminierung und SSL-Offloading sind Begriffe, die oft synonym verwendet werden, die aber je nach Kontext eine leicht unterschiedliche Bedeutung haben können.
SSL-Bridging entschlüsselt den SSL/TLS-Verkehr bei einem Proxy oder Load Balancer, bevor er an den Backend-Server weitergeleitet wird. Nach der Entschlüsselung des Datenverkehrs kann der Proxy den Datenverkehr prüfen oder gegebenenfalls ändern, bevor er ihn erneut verschlüsselt und an den Backend-Server sendet. SSL-Bridging ermöglicht die Sichtbarkeit und Kontrolle des Datenverkehrs auf der Proxy-Ebene.
Nach der Verarbeitung des Datenverkehrs verschlüsselt der Load Balancer diesen mit seinem eigenen SSL-Zertifikat erneut, bevor er ihn an die Backend-Server weiterleitet.
Verwenden Sie SSL Bridging, um bösartigen Datenverkehr zu erkennen und zu blockieren, implementieren Sie inhaltsbasiertes Routing, um Anfragen auf der Grundlage ihres Inhalts oder ihrer Herkunft an bestimmte Backend-Server zu leiten, oder führen Sie Optimierungen wie Caching oder Komprimierung durch.
Unterm Strich
Zusammenfassend lässt sich sagen, dass SSL Passthrough sichere, verschlüsselte Verbindungen unter Umgehung der Entschlüsselungsprozesse aufrechterhält. Trotz kleinerer Nachteile sind die Vorteile, wie die Beibehaltung der Ende-zu-Ende-Verschlüsselung und die geringere Belastung der Server, erheblich.
Die Konfiguration kann variieren, aber im Allgemeinen ist der Prozess einfach. Beim Vergleich mit SSL-Offloading, Termination und Bridging wird deutlich, dass jede Methode ihre eigenen Anwendungen hat. Bei Ihrer Entscheidung sollten Sie die spezifischen Bedürfnisse und Sicherheitsanforderungen Ihres Netzwerks berücksichtigen.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10