ما هو خادم بروكسي SSL وكيف يعمل؟

من المحتمل أنك لا تبحث عن خادم بروكسي SSL بدافع الفضول البحت.

أنت تحاول حل شيء ملموس. يحتاج فريق اجتماعي إلى التحقق من كيفية ظهور حملة من موقع آخر. يحتاج مطور إلى اختبار تدفق تسجيل دخول يتصرف بشكل مختلف خلف HTTPS. يريد مشتري الوسائط التحقق من أن صفحة الهبوط أو إعادة التوجيه أو خطوة التتبع تعمل بالطريقة التي ينبغي أن تعمل بها عندما يتم توجيه الحركة عبر بروكسي.

هنا تبدأ الحيرة. معظم الشروحات مكتوبة لفرق الأمان وتغمر الموضوع بمصطلحات البروتوكول. السؤال العملي أبسط: ماذا يفعل خادم بروكسي SSL بالفعل، ولماذا يجب أن يهتم المسوق أو المطور؟

ما هو خادم بروكسي SSL

خادم بروكسي SSL هو طبقة وسطى بين المستخدم وموقع ويب أو تطبيق يستخدم HTTPS. إنه لا يستبدل التشفير. إنه يجلس داخل اتصال مشفر بحيث يمكن توجيه الحركة أو إعادة توجيهها أو، في بعض الإعدادات، فحصها قبل أن تستمر إلى وجهتها.

طريقة بسيطة لتصوره هي كمترجم موثوق في اجتماع آمن. يتحدث العميل إلى المترجم، ويتحدث المترجم إلى الجانب الآخر، وكلا المحادثتين مؤمنتان. هذه الإعدادات تسمح للمترجم بأداء عمل مفيد في المنتصف، مثل فرض القواعد، والتحقق من الطلبات، أو تقديم الحركة من مسار شبكة مختلف.

قاعدة عملية: إذا كانت سيرتك العملية تعتمد على مواقع الويب الحديثة، فأنت بالفعل تتعامل مع حركة مرور مشفرة. لن يذهب بروكسي لا يمكنه العمل مع HTTPS بعيدًا.

هذا مهم لأن حركة مرور الويب المشفرة لم تعد حالة نادرة. في قياس واسع النطاق لحركة الإنترنت الحقيقية، قام الباحثون بتحليل حوالي 1.4 مليار جلسة SSL على مدار حوالي 1,000 ساعة من حوالي 115,000 مستخدم ووجدوا أن 94.0% من الاتصالات استخدمت TLSv1 بينما لا تزال 5.9% تستخدم SSLv3. الدرس الكبير ليس الحنين إلى البروتوكولات القديمة. إنه أن النقل المشفر أصبح القاعدة، مما جعل بروكسيات SSL ضرورية.

ما يختلط على الناس غالبًا

غالبًا ما يفترض القراء أن "بروكسي SSL" تعني "الشيء الذي يجعل الحركة آمنة". هذا ليس دقيقًا تمامًا. SSL أو TLS هو طبقة التشفير نفسها. البروكسي هو الوسيط الذي يعمل مع تلك الحركة المشفرة.

سوء فهم شائع آخر هو أن كل بروكسي SSL يقرأ حركتك. بعضهم فقط يعيد توجيه الجلسات المشفرة. الآخرون مُعدون لإنهاء جلسة آمنة واحدة وإنشاء أخرى، مما يسمح برؤية المحتويات. ما إذا كان الفحص يحدث يعتمد على الإعداد والهدف.

• للمسوقين: يمكن أن يساعد في اختبار المواقع الجغرافية، والتحقق من الإعلانات، وسير العمل للحسابات، ورؤية ما قد يراه المستخدمون في منطقة أو سياق شبكة آخر.
• للمطورين: يمكن أن يساعد في إعادة إنتاج الأخطاء الخاصة بـ HTTPS، واختبار إعادة التوجيه، وفهم كيفية تصرف التطبيقات عندما تمر الطلبات عبر وسيط.
• لفرق الأمان: يمكن أن يفرض سياسة على حركة المرور المشفرة التي ستكون غير شفافة بخلاف ذلك.

لذا فإن "ما هو المهم" واضح. يوفر خادم بروكسي SSL للفرق وسيلة لـ العمل مع حركة مرور الويب المشفرة بدلاً من أن تكون محجوبة بها.

شرح بروكسي أمامي مقابل بروكسي عكسي

أسهل طريقة لفهم هذا الانقسام هي التفكير في غرفة البريد الخاصة بشركة.

يتعامل مكتب واحد مع البريد الصادر من الموظفين إلى العالم الخارجي. المكتب الآخر يتعامل مع البريد الوارد من الجمهور ويوجهه إلى الفرق الداخلية. تعمل البروكسيات الأمامية والعكسية بنفس الطريقة، باستثناء أن "البريد" هو حركة مرور الويب.

ما يفعله البروكسي الأمامي

يجلس البروكسي الأمامي أمام العميل. يرسل العميل الطلبات إلى البروكسي، ويخرج البروكسي إلى الإنترنت نيابة عن العميل. إذا كنت تدير حسابات، أو تختبر تجارب حساسة للمنطقة، أو توجه أتمتة المتصفح عبر IP مختلف، فأنت عادةً تفكر في بروكسي أمامي.

مع HTTPS، يمكن أن يفعل بروكسي SSL الأمامي أكثر من مجرد تمرير بسيط. تصف Palo Alto Networks بروكسي SSL الأمامي على أنه ينهي جلسة TLS الخاصة بالعميل وينشئ جلسة TLS ثانية إلى خادم الوجهة. هذه هي الآلية التي تسمح بفك التشفير والفحص عندما يكون الفحص مفعلًا.

• الهدف النموذجي من جانب العميل: إخفاء أو استبدال هوية الشبكة الخاصة بالعميل، تطبيق السياسة، أو فحص حركة المرور الصادرة.
• مثال تسويقي: يتحقق مدير الحملة مما إذا كانت صفحة الوجهة تحل بشكل صحيح عندما تخرج الحركة عبر شبكة جوالة في منطقة أخرى.
• مثال مطور: يعمل سير عمل ضمان الجودة على تمرير حركة تطبيق عبر بروكسي لمراقبة إعادة التوجيه وسلوك API تحت ظروف HTTPS الحقيقية.

ما يفعله البروكسي العكسي

يجلس البروكسي العكسي أمام الخادم. يتصل المستخدمون العموميون بالبروكسي أولاً، ويقرر البروكسي أي خدمة خلفية يجب أن تتعامل مع الطلب. هذا شائع عندما تريد موقعًا واحدًا نظيفًا للعديد من الخدمات الداخلية.

بالنسبة لفرق التطبيقات، غالبًا ما تكون البروكسيات العكسية هي المكان الذي يحدث فيه إنهاء SSL، وتوجيه الطلبات، وتمرير الرؤوس، والتحكم في الحركة. إنها أقل عن إخفاء العميل وأكثر عن حماية وتنظيم جانب الخادم.

يمثل البروكسي الأمامي العميل. يمثل البروكسي العكسي الخادم.

أي واحد يناسب وظيفتك

إذا كانت فريقك يتحدث عن إنشاء الحسابات، والتحقق من الإعلانات، وأتمتة المتصفح، وطرق تجاوز منع التصفح، أو ضمان الجودة المستهدفة جغرافيًا، فمن المحتمل أنك تتعامل مع حالة استخدام بروكسي أمامي. إذا كان فريقك يتحدث عن توازن الحمل، ومعالجة HTTPS الواردة، وتسليم التطبيقات، أو مركزية الشهادات، فإن ذلك يشير إلى منطقة البروكسي العكسي.

يخلط الناس أيضًا بينهما لأن كلاهما يمكن أن ينهي TLS. الفرق ليس في خطوة التشفير. الفرق هو أي جانب يقف فيه البروكسي أمامه.

كيف تعمل إنهاء TLS والفحص

العبارة التي تخيف معظم الأشخاص غير المتخصصين في الشبكات هي إنهاء TLS. يبدو الأمر تدخليًا، لكن الفكرة بسيطة بمجرد أن تترجمها إلى مصطلحات سير العمل.

فكر في البروكسي كمترجم موثوق في نقطة تفتيش آمنة. يسلم العميل الرسالة المشفرة إلى البروكسي. يقوم البروكسي بفك تشفيرها، والتحقق مما يحتاج إلى التحقق منه، ثم يقوم بتأمينها مرة أخرى قبل تمريرها. ترى الوجهة جلسة آمنة صالحة، ويرى العميل أيضًا جلسة آمنة، لكن هناك في الواقع محادثتين آمنتين منفصلتين مع البروكسي في المنتصف.

العملية بلغة بسيطة

1. يتصل العميل بشكل آمن. يبدأ متصفح أو تطبيق أو نص أتمتة جلسة HTTPS.
2. يتلقى البروكسي تلك الجلسة الآمنة. بدلاً من إعادة توجيهها بشكل أعمى، يصبح البروكسي نقطة النهاية لتلك المحادثة المشفرة الأولى.
3. يقوم البروكسي بفك تشفير الحركة. في هذه اللحظة، يمكنه فحص تفاصيل الطلب إذا سمح الإعداد بذلك.
4. يفتح البروكسي جلسة آمنة جديدة إلى الوجهة. تتلقى خادم الموقع أو التطبيق اتصالًا مشفرًا ثانيًا من البروكسي.
5. تعود الردود عبر نفس المسار. يمكن للبروكسي فحصها أو تعديلها أو ببساطة إعادة توجيهها قبل إعادتها إلى العميل عبر التشفير.

على مستوى تصميم الشبكة، هذا هو السبب في أن بروكسي SSL غالبًا ما يوصف بأنه وسيط شفاف من الطبقة 7. تصف وثائق منتجات Juniper ذات الصلة بروكسي SSL بأنه تشفير وفك تشفير SSL/TLS بين العميل والخادم، مما يمكّن من فحص حمولات التطبيقات، ورؤوس HTTP، وعناوين URL، والمحتوى الذي لا يمكن للبروكسيات ذات الطبقات الأدنى تحليله، بينما تضيف أيضًا تعقيدًا تشغيليًا حول الثقة وإعادة التشفير، كما هو ملاحظ في شرح Juniper لسلوك بروكسي SSL.

لماذا تستخدم الفرق الفحص على الإطلاق

إذا ظلّ المرور مشفّرًا من النهاية إلى النهاية دون رؤية وسيط، يمكن للوكيل توجيهه ولكن لا يمكنه فهمه. هذا يحد مما يمكنك القيام به. بمجرد أن يتمكن الوكيل من إنهاء وإعادة تأسيس TLS، يمكنه دعم سير العمل المعتمد على المحتوى.

• مراجعة الأمان: يمكن للفرق فحص المرور المشفّر بحثًا عن البرمجيات الضارة، انتهاكات السياسات، أو الوجهات المحجوبة.
• تحليل الطلب: يمكن للمطورين رؤية الرؤوس، والمسارات، والسلوك المتعلق بالحمولة الذي يهم عند تصحيح تطبيق.
• نقاط التحكم: يمكن لفرق العمليات تطبيق قواعد بناءً على المحتوى، وليس فقط الوجهة والمنفذ.

عندما يعمل التطبيق "بشكل جيد دون الوكيل" ولكنه يتعطل معه، فإن المشكلة عادةً ليست سحرًا. غالبًا ما تكون الثقة، الرؤوس، إعادة التوجيه، أو معالجة الشهادات.

هذه هي الجزء الذي تتجاوزه العديد من الأدلة. إنهاء TLS قوي، لكنه يغير شكل الاتصال. بمجرد أن يصبح الوكيل جزءًا من المحادثة، قد يحتاج تطبيقك، أو متصفحك، أو مجموعة الأتمتة إلى الثقة بسلسلة الشهادات، والحفاظ على الرؤوس بشكل صحيح، ومعالجة إعادة التوجيه بعناية أكبر.

وكلاء SSL مقابل وكلاء HTTP و SOCKS

غالبًا ما يستخدم الناس كلمة "وكيل" كما لو أن جميع أنواع الوكلاء تقوم بنفس الشيء. لكنها لا تفعل. بالنسبة للمسوقين والمطورين، فإن أكبر فرق هو ما إذا كان الوكيل يفهم حركة مرور الويب المشفرة بعمق كافٍ لفحصها أو التلاعب بها.

مقارنة أنواع الوكلاء

ماذا يعني هذا في الممارسة العملية

وكيل HTTP يركز على الويب، لكنه لا يمنحك تلقائيًا رؤية ذات مغزى في حركة المرور المشفرة. وكيل SOCKS يشبه أكثر أنبوب النقل. يمكن أن يكون مرنًا، لكنه عادةً لا يعرف أو يهتم بما هو داخل الحزم.

يبرز وكيل SSL عندما يعتمد العمل على فهم أو التحكم فيما يحدث داخل جلسة HTTPS. إذا كنت بحاجة إلى تصحيح إعادة التوجيه، فحص الرؤوس، تطبيق سياسة المرور، أو اختبار كيفية تصرف سير العمل المشفر من خلال وسيط، فهذا هو المكان الذي يكسب فيه وكيل SSL مكانه.

• اختر وكيل SSL عندما تكون الجلسة المشفرة نفسها هي الشيء الذي تحتاج للعمل معه.
• اختر وكيل HTTP عندما تكون المهمة أبسط ومربوطة بطلبات الويب بأسلوب المتصفح.
• اختر SOCKS عندما تحتاج بشكل أساسي إلى مسار عام للمرور ولا تحتاج إلى وعي بالمحتوى.

حالات الاستخدام الشائعة لخوادم وكيل SSL

أفضل طريقة للتفكير في خادم وكيل SSL ليست كجهاز أمان أولاً، ولكن كنقطة تحكم. إنها تعطي الفريق مكانًا واحدًا يمكن من خلاله توجيه الحركة المشفرة، وفحصها، وتشكيلها لدعم وظيفة حقيقية.

بالنسبة لمسوق، قد يعني ذلك رؤية نفس الصفحة التي سيرىها مستخدم في سياق شبكة آخر. بالنسبة لمطور، قد يعني ذلك إعادة إنتاج خطأ يظهر فقط خلف HTTPS ووكيل. بالنسبة لفريق العمليات، قد يعني ذلك إضافة الفحص حيث ستكون حركة المرور المشفرة غير شفافة بخلاف ذلك.

سيناريوهات التسويق وشراء الوسائط

غالبًا ما يحتاج مدير وسائل التواصل الاجتماعي إلى العمل في بيئات حيث يكون سلوك المنصة حساسًا للموقع، وهوية الشبكة، وسياق المتصفح. يمكن أن يجعل توجيه الحركة عبر وكيل يدعم SSL تلك الجلسات قابلة للعمل مع الحفاظ على سلوك HTTPS الذي تتوقعه المنصة.

يواجه متخصص الإعلانات أو PPC مشكلة مختلفة. الإعلانات، الصفحات التمهيدية، إعادة التوجيه، والعروض النهائية لا تظهر دائمًا بنفس الطريقة في كل مكان. يساعد إعداد الوكيل في التحقق مما إذا كانت رحلة المستخدم متسقة عند خروج الحركة عبر منطقة مختلفة أو ملف تعريف شبكة متنقلة.

• تحقق من الإعلانات: تأكيد أن الحملة تعرض الصفحة، اللغة، وتدفق إعادة التوجيه المتوقع من سوق مستهدف.
• عمليات الحساب: دعم تسجيل الدخول، معالجة الجلسات، والإدارة اليومية حيث تكون المنصات حساسة لتغير إشارات الشبكة.
• التحقق التنافسي: مراجعة الصفحات العامة والعروض كما تظهر تحت مسار وصول مختلف، دون الاعتماد على اتصال مكتبك.

سيناريوهات المطور و QA

تستخدم فرق QA الوكلاء لأن العديد من الأخطاء لا تظهر في بيئة محلية نظيفة. تظهر عندما يتم إعادة توجيه الطلب، تتغير سلسلة الشهادات، أو يتلقى التطبيق رؤوسًا معاد توجيهها مختلفة عما يتوقعه.

إحدى المشكلات العملية الموثقة مع إعدادات الوكيل العكسي هي أن التطبيقات يمكن أن تفقد تتبع مخطط الطلب الأصلي ما لم تثق بالرؤوس المعاد توجيهها مثل HTTP_X_FORWARDED_PROTO. عندما لا يتم تكوين تلك الثقة، يمكن أن تتكرر تسجيلات الدخول وإعادة التوجيه أو تتعطل، كما تم مناقشته في هذا الشرح لتأثيرات وكيل SSL على سلوك التطبيق.

ملاحظة ميدانية: "لماذا تعطل تطبيقي؟" غالبًا ما تكون مشكلة وعي الوكيل، وليست مشكلة جودة التطبيق.

• QA المعتمد على الجغرافيا: اختبار النماذج، التدفقات المحلية، وتنوعات المحتوى تحت ظروف توجيه مختلفة.
• تصحيح إعادة التوجيه: تتبع أين تتغير طلبات HTTPS من حيث المخطط، المضيف، أو سلوك الجلسة.
• دعم الأتمتة: تشغيل مهام تصفح مكتوبة من خلال وسيط مستقر يحافظ على النقل الآمن.

استخدام البنية التحتية والسياسة

تهتم فرق الأمان والعمليات بوكلاء SSL لأسباب أكثر تقليدية. يمكنهم فحص التدفقات المشفرة، تطبيق قواعد التصفية، ومركزة فرض السياسات حيث سيكون مرئيًا فقط النص المشفر بخلاف ذلك.

إذا كانت أعمالك أقرب إلى النمو أو QA، فإن الترجمة المفيدة هي هذه: نفس الآلية التي تساعد فريق الأمان في فحص الحركة هي ما يساعدك أيضًا في اختبار، والتحقق، واستكشاف الأخطاء في رحلات المستخدم المشفرة.

المقايضات بين الأمان والأداء

ليس وكيل SSL ترقية أمان تلقائية. يمكن أن يحسن الرؤية والتحكم، لكنه أيضًا يخلق مكانًا جديدًا حيث يتم فك تشفير الحركة الحساسة. هذا يجعل الوكيل نفسه جزءًا من سطح الهجوم الخاص بك.

لقد أشار التحليل المستقل إلى أن الوكيل يمكنه عادةً فقط إعادة توجيه البيانات المشفرة، بينما يمكن لوكيل SSL بأسلوب الرجل في المنتصف قراءة وتعديل البيانات بعد انتحال شخصية الوجهة. لهذا السبب تهم ثقة الشهادات، وتكوين النقاط النهائية، ونظافة العمليات كثيرًا، كما هو موضح في هذا التحليل حول الوكلاء الذين يكسرون اتصالات SSL.

تكاليف الأمان للرؤية

الجانب الإيجابي للفحص واضح. يمكنك اكتشاف أشياء داخل حركة المرور المشفرة التي ستظل مخفية بخلاف ذلك. الجانب السلبي واضح بنفس القدر بمجرد أن تقوله بوضوح: الوكيل يرى البيانات المفككة.

• المخاطر المركزية: إذا كان البروكسي مُعدًا بشكل خاطئ أو تم اختراقه، فقد يكشف عن كمية كبيرة من حركة المرور الحساسة.
• عبء الثقة: تحتاج أجهزة العملاء والتطبيقات إلى الثقة بسلوك شهادة البروكسي، أو ستفشل بطرق مزعجة ومربكة.
• أسئلة الخصوصية: تحتاج الفرق إلى حدود واضحة حول ما يجب فحصه وما يجب تركه بمفرده.

تكاليف الأداء الناتجة عن القيام بمزيد من العمل

يضيف الفحص أيضًا عبئًا إضافيًا. يجب على البروكسي إنهاء جلسة TLS واحدة، وفحص أو معالجة حركة المرور، ثم إنشاء أو الحفاظ على جلسة آمنة أخرى. هذا يعني المزيد من العمل التشفيري والمزيد من الأجزاء المتحركة في مسار الطلب.

بالنسبة للمسوق الذي يتحقق من صفحة هبوط بين الحين والآخر، قد يكون هذا العبء غير ملحوظ. بالنسبة لعملية أتمتة أو بيئة ذات حجم كبير، يمكن أن تصبح المصافحات الإضافية وإعادة التشفير عاملًا تشغيليًا حقيقيًا. إذا كان البروكسي ضعيف القوة أو موضوعًا بشكل سيء، فقد يصبح عنق زجاجة بدلاً من مساعد.

العقلية المفيدة هي اعتبار بروكسي SSL كنقطة ثقة واحدة. إذا لم تكن واثقًا من مركزية حركة المرور الحساسة هناك، فلا تقم بفك تشفيرها هناك.

أقوى النشر هو الانتقائي. لا يقومون بفحص كل شيء لمجرد أنهم يستطيعون. يحددون أي حركة مرور تحتاج إلى رؤية، ومن يتحكم في الشهادات، وكيف سيتم مراقبة الفشل واحتوائه.

التكوين واختيار البروكسي المحمول

تأتي النتائج الجيدة مع خادم بروكسي SSL عادةً إلى حقيقة مملة واحدة: جودة الإعداد تهم أكثر من العلامة التجارية للمنتج. إذا كانت سلاسل الثقة، أو الرؤوس، أو معالجة الجلسات خاطئة، سيبدو البروكسي معطلاً حتى عندما يقوم بالضبط بما طلبته منه.

هذا الأمر مهم أكثر الآن لأن بنية البروكسي تستمر في النمو مع تحول حركة المرور المشفرة إلى معيار. قدرت إحدى تقديرات السوق حجم سوق خوادم البروكسي العالمية بـ 4.29 مليار دولار أمريكي في 2023 مع توقعات بـ 7.59 مليار دولار أمريكي بحلول 2032، بينما أشار ملخص الصناعة إلى أن 70.1% من أفضل المواقع قد انتقلت إلى TLS 1.3 بحلول مايو 2024. الخلاصة العملية بسيطة: التعامل الواعي بـ SSL أصبح بنية تحتية عادية، وليس حالة خاصة متخصصة.

ما يجب التحقق منه قبل النشر

• ثقة الشهادة: تأكد من أن الجانب العميل والجانب التطبيق يثقان بما يحتاجان إلى الثقة به. إذا لم يفعلوا، يمكن أن تبدو فشل HTTPS عشوائية.
• الرؤوس المعاد توجيهها: تأكد من أن التطبيقات تتلقى وتثق في الرؤوس التي تحافظ على المخطط الأصلي وسياق الطلب.
• الفحص الانتقائي: قم بفك تشفير حركة المرور التي تحتاج فعلاً إلى الفحص أو استكشاف الأخطاء.
• التسجيل والمراقبة: راقب حلقات إعادة التوجيه، وفشل المصافحة، والأعطال الخاصة بالتطبيق بدلاً من افتراض أن البروكسي شفاف.

كيف يغير اختيار البروكسي المحمول الصورة

إذا كانت حالة الاستخدام الخاصة بك تتضمن منصات اجتماعية، أو فحوصات إعلانات، أو تدفقات تسجيل التطبيقات، أو ضمان الجودة الموجهة نحو الهواتف المحمولة، فإن نوع الشبكة مهم. يمكن أن تتناسب البروكسيات المحمولة بشكل أفضل مع الظروف التي تتوقعها تلك المنصات، خاصة عندما تحتاج حركة المرور لتبدو وكأنها تأتي من اتصال هاتف محمول حقيقي بدلاً من خط مكتب ثابت.

عند مقارنة الخيارات، ركز على الملاءمة العملية: ثقة IP، التحكم في التدوير، حدود حركة المرور، وما إذا كان المزود يدعم سير العمل الذي تقوم بتشغيله فعليًا. على سبيل المثال، Evoproxy تقدم منافذ بروكسي محمولة فرنسية مع خيارات شخصية ومشتركة، وتدوير قابل للتخصيص، والوصول إلى IP المحمول الموجه نحو حالات الاستخدام مثل إدارة وسائل التواصل الاجتماعي، واختبار الإعلانات، وأعمال الحسابات، وضمان الجودة المعتمد على الموقع.

إذا كانت فريقك يحتاج إلى وصول بروكسي محمول فرنسي للاختبار الآمن، أو سير العمل الخاص بالحسابات، أو التحقق من الحملات، فإن Evoproxy هو أحد الخيارات التي يمكن تقييمها. قم بمطابقة نوع البروكسي مع الوظيفة، واحتفظ بثقة الشهادة والرؤوس نظيفة، واعتبر فحص SSL كأداة متعمدة، وليس إعدادًا افتراضيًا.