Proxy-server for å unngå HTTPS

[Kajac]

Dette er kanskje en rar forespørsel. Men jeg har en del eldre datamaskiner som gjerne kan settes i nettverk, men som ikke har en nettleser som støtter de nyeste krypterings-algoritmene brukt med HTTPS. Mange sider jeg forsøker å få tilgang til på disse maskinene, inkl. mange retrocomputing-sider, har dessverre gått over til disse algoritmene.

Jeg lurer på om det finnes en mulighet for å lage en proxyserver, f.eks. ved hjelp av en Raspberry Pi, som kun har som funksjon å dekryptere og videresende HTTPS-kall ukryptert, slik at retro-maskinen oppfatter det som at nettsiden jeg prøver å gå inn på enten bruker en eldre krypterings-algoritme eller ingen kryptering i det hele tatt. Dette er i hovedsak for å kunne laste ned programmer og spill direkte til disse maskinene, og er ikke tenkt å bli brukt til noe som krever kryptert linje.

Noen som har en idé om hva dette er, eller om det i det hele tatt er mulig?

[henrikwl]

Ja, det høres ut som om en relativt standard forward proxy er det du er ute etter. NGINX er en populær proxy server som jeg tror skulle kunne fikse den biffen.

[tingo]

hvis man vil ha noe med "retro" i beskrivelsen så fant jeg disse:
https://github.com/DrKylstein/retro-proxy
https://github.com/tenox7/wrp
https://github.com/atauenis/webone

https://github.com/ttalvitie/browservice

men forslaget til @henrikwler nok best

[Kajac]

Ikke at jeg er overtroisk eller noe, men denne videoen kom da ut i dag: 

Ser det er en av de du linket til @tingo

@henrikwl ang. ditt forslag om en forward proxy, har du noen forslag eller utdypende informasjon? Jeg er ganske grønn når det kommer til nettverk.

[henrikwl]

Å sette opp en MITM forward proxy er dessverre noe som av natur er ganske avanserte greier. Jeg fant denne artikkelen som forhåpentligvis kan være et startpunkt: https://www.samueldowling.com/2020/01/18/nginx-reverse-proxy-freenas-ssl-tls/

men jeg kjenner ikke din bakgrunn så jeg vet ikke i hvor stor grad den gir mening for deg. Den er også skrevet for FreeNAS som er en BSD distro så du må eventuelt gjøre tilpasninger for din distro of choice. Bruker du Linux så er det jo som kjent enkelte idiomatiske forskjeller selv om 95% av userland er veldig likt.

[sk0yern]

Jeg tror nok ikke nginx er greia for denne problemstillingen.
Skulle tro at en ganske grei løsning for deg er å f.eks sette opp en squid-proxy, og bruke den som en expolict proxy.
Du bør på proxyen kunne styre hvilke ciphers som skal brukes mellom klient og proxy, i farten er jeg litt usikker på om kommunikasjon mellom proxy og klient faktisk går i klartekst eller ikke by-default.
 

 

[Gjest]

Squid kan løse dette. Husk at det å dekryptere og kryptere https trafikk kan kreve mye ressurser fra CPU-en.

Hvis Squid ikke er aktuelt,  sjekk ut Untangle med SSL Inspection: https://wiki.untangle.com/index.php/SSL_Inspector

(Dersom du ønsker noe som er ferdig)

[henrikwl]

ColdIce skrev (2 timer siden):

Husk at det å dekryptere og kryptere https trafikk kan kreve mye ressurser fra CPU-en.

Det er vel en god del år siden dette var en faktor man trengte å ta hensyn til i særlig grad. Med mindre man tenker å kjøre denne proxyen på en batteridrevet embedded-sak, så klart.

Edit: forklaring: https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

Endret 14. januar 2021 av henrikwl

[Kajac]

Som sagt, tenker å kjøre den på en raspberry pi 3B. Den er jo mer enn kraftig nok til vanlig nettlesing, så burde vel være mer enn rask nok til dekryptering av HTTPS. For min del trenger den ikke å gjen-kryptere dataene

[Kajac]

Driver å tester ut Browservice nå, og det fungerer overraskende bra. Men føler det er litt "juks" når det egentlig er en annen maskin som gjør mer eller mindre hele jobben. Men å surfe via Browservice på en 20 år gammel PowerBook G4 med Mac OS 9 føles ikke verre enn å bruke  en normal remote desktop-instanse. Dette innlegget er skrevet igjennom Browservice. Filopplasting er dessverre en av tingene som ikke fungerer, men skal laste opp et par bilder senere :)

[Kajac]