TLS/SSL Hakkında

Transport Layer Security (TLS), aynı zamanda Secure Sockets Layer (SSL) olarak da adlandırılan, ağ üzerinden veri iletişimini şifrelemek için kullanılan bir şifreleme protokolü kümesidir. Bir web bağlamında, TLS ve SSL HTTPS'deki “S” dir. TLS, iletişimi şifreleyerek ve sertifikalar vererek bir güven düzeyi oluşturarak bağlantının güvence altına alınmasını sağlar.

Geçtiğimiz birkaç yıl boyunca, TLS, şifrelenmemiş HTTP trafiğinin birkaç yıl içinde artık normal kabul edilmeyeceği için giderek daha popüler hale geldi. Güvenlik, BT endüstrisinde hala önemli bir konudur ve internet üzerindeki hemen hemen her marka, sitelerinde HTTPS önererek güvenli ve güvenilir olduklarını göstermek istemektedir. Google Arama’nın bile HTTPS web sitelerine daha iyi bir sayfa sırası verdiği söyleniyor.

Varnish, yerel olarak TLS desteğini içermez, çünkü şifreleme zordur ve projenin ana faaliyetinin bir parçası değildir. Varnish, tamamen önbellekleme ile ilgilidir.

TLS kullanmak için trafik Varnish'e gelmeden önce bir proxy ile TLS trafiği çözümlemeniz gerekir. Bu, kurulumunuza TLS bağlantısını sonlandıran ve HTTP üzerinden Varnish ile iletişim kuran bir TLS/SSL çözümleyici eklemek anlamına gelir. Normal koşullar altında Varnish, TLS boşaltıcı tarafından gönderilen X-Forwarded-For HTTP istek başlığının değerini eklemeli ve bu değeri kendi X-Forwarded-For başlığında saklamalıdır. Bu şekilde, arka uç hala kaynak IP'yi alabilir.

Varnish 4.1’de PROXY protokol desteği eklendi. PROXY protokolü, önde gelen açık kaynaklı yük dengeleme yazılımı olan HAProxy tarafından sunulan küçük bir protokoldür. Bu PROXY protokolü, orijinal istemcinin IP adresini içeren TCP bağlantısına küçük bir başlangıç ​​ekler. Bu bilgi aktarılır ve Varnish tarafından yorumlanabilir. Varnish bu değeri kullanacak ve otomatik olarak arka uçlara gönderdiği X-Forwarded-For başlığına ekleyecektir.

Ek olarak, Varnish'teki PROXY protokol uygulaması, VCL'de birkaç değişken ayarlamak için bu yeni kaynak IP bilgisini kullanır:

• client.ip değişkenini PROXY protokolü aracılığıyla gönderilen IP adresini belirtir.

• server.ip değişkenini ilk bağlantıyı kabul eden sunucunun IP adresine ayarlanır.

• local.ip değişkenini Varnish sunucusunun IP adresine ayarlanır.

• remote.ip değişkenini Varnish'in önünde bulunan makinenin IP adresine ayarlanır.

HAProxy, PROXY'yi destekleyen tek TLS çözümleyici değildir. Varnish Software, TLS bağlantısını sonlandıran ve HTTP üzerinden Varnish ile iletişim kuran bir TLS vekili olan Hitch'i piyasaya sürdü. HAProxy, öncelikle TLS çözümlemesi sunan bir yük dengeleyicisi olmasına rağmen, Hitch yalnızca TLS çözümlemesi yapıyor. Kullanım durumunuza ve kurulumunuzda yük dengelemesi gerekip gerekmediğine bağlı olarak, HAProxy veya özel bir TLS proxy'si seçebilirsiniz. Varnish Software tarafından geliştirilen Varnish'in gelişmiş versiyonu Varnish Plus, hem sunucu hem de müşteri tarafında TLS/SSL desteği sunuyor. Varnish Plus'taki TLS / SSL proxy'si, Varnish ile sıkı bir şekilde tümleşiktir ve üçüncü taraf çözümlere güvenmeden web sitesi güvenliğini artırmaya yardımcı olur.