SSLプロキシとは何ですか、またそれはどのように機能しますか?
Advanced Bot Mitigation Engineer
主なポイント:
- SSLプロキシはTLS仲介者であり、プライバシーツールではありません。 HTTPS暗号化自体を終了させ、通常はエンドツーエンドで不明瞭なトラフィックを読み取ることができます。
- 設計上の中間者です。 制御された可視性(検査、ポリシーの強制、データ損失防止、デバッグ)を目的としており、自分が誰であるかを隠すためのものではありません。
- フォワードとリバースは対極的な展開です。 フォワードは内部クライアントからのアウトバウンドトラフィックを保護し、リバースは自分のサーバーの前でインバウンドTLSを終了させます。
- TLSハンドシェイクが可能にしています。 接続がRSA、エフェメラルDiffie-Hellman、またはTLS 1.3を使用するかどうかに関わらず、プロキシがハンドシェイクに参加して平文を取得します。
- エンドツーエンド暗号化を破ることはトレードオフです。 検査と制御を得る一方で、プロキシは高価値のターゲットとなり、信頼、プライバシー、コンプライアンスの負担を引き受けます。
- SOCKSや通常のHTTPプロキシとは異なります。 TLS層を具体的に理解し処理するため、盲目的にバイトをトンネルするのではありません。
- データ収集のために、自分自身で運用することは通常ありません。 管理された住宅プロキシインフラを通じてルーティングすることで、ターゲットはクリーンで暗号化された接続を持ち、自分自身のTLS終了層を持たずに済みます。
- 無料で始められます。 新しいScrapelessアカウントには、無料のScraping Browserランタイムと住宅プロキシアクセスが含まれています — Scrapelessのウェブサイトでサインアップしてください。
イントロダクション: 暗号を読み取るプロキシ
ほぼすべてのウェブトラフィックは現在、HTTPSを介して移動し、移送中に暗号化されています。これは機密性にとって良いことですが、盲点も生み出します。暗号化されたバイトしか見えないファイアウォールは、従業員が無許可のサービスに敏感なファイルをアップロードしているのか、ダウンロードにマルウェアが含まれているのか、あるいはアプリケーションが漏洩すべきでないデータを漏洩させているのかを判断できません。暗号化は中間のすべての人からペイロードを保護します — ネットワークの責任者も含まれます。
SSLプロキシは、その緊張を解消するために存在します。暗号化されたトラフィックを untouched のまま通過させるのではなく、意図的にTLS接続のエンドポイントとして自らを位置付け、通過するものを復号し、検査し、再暗号化します。セキュリティチームは、許可されている使用ポリシーの強制やデータ損失の防止に使用します。オペレーションチームは、サーバー側で中央集権的に証明書を管理し、暗号作業をオフロードするために使用します。開発者は、APIトラフィックをデバッグするために同じアイデアのローカルバージョンを使用します。
このガイドは、SSLプロキシを正確に定義し、その機能を可能にするTLSハンドシェイクを通じて進み、フォワードとリバースの展開の間の境界を明確にし、それが表すセキュリティのトレードオフについて正直に述べます。これは、自分で検査ゲートウェイを運用するのではなく、信頼できるデータ収集を目指すときに管理されたプロキシインフラがどのようにフィットするのかを締めくくります。ほかの背景については、クラウドプロキシとはやVPSとプロキシの解説をご覧ください。
SSLプロキシとは?
SSLプロキシは、二者間のTLS(トランスポート層セキュリティ)接続を終了させ、再起動させる中継サーバーであり、HTTPSトラフィックがエンドツーエンドで暗号化される代わりに、プロキシにとって読み取り可能になります。一つの安全な接続を二つに分割するため — クライアントからプロキシへの接続とプロキシからオリジンへの接続 — 、片側でトラフィックを復号し、それを検査または変更し、もう一方で再暗号化することができます。
名前に関する簡単な注意。SSL(セキュアソケットレイヤ)は元々のプロトコルであり、TLSに置き換えられましたが、古い名前が残っています。実際には「SSLハンドシェイク」と「TLSハンドシェイク」、および「SSLプロキシ」と「TLSプロキシ」が同義で使用されます。現在SSLプロキシが処理するトラフィックはほぼ常にTLSです。
定義的な特徴を直接述べる価値があります: SSLプロキシは、設計上TLSの中間者です。 単に暗号化されたバイトを転送する標準的なプロキシは平文を見ることがありません。SSLプロキシは、まさに平文を取得できるように、意図的にTLSエンドポイントとして自らを挿入します。その能力こそ、検査と制御のために価値を持つ理由です — そして、プライバシーを得るために手に取るべきツールではなく、意図的に展開し、注意深く管理する必要があるものです。
Scrapelessでは、適用される法律、規則、およびウェブサイトのプライバシーポリシーを厳格に遵守しながら、公開されているデータにのみアクセスします。この投稿の内容はデモ目的のみです。
SSLプロキシの動作方法
プロキシを理解するためには、まずそれが挿入されるハンドシェイクを理解する必要があります。Cloudflare の「TLS ハンドシェイクで何が起こるのか」の説明によれば、TLS ハンドシェイクは TCP 接続が確立された後、HTTPS が使用されるたびに行われます。その目的は、TLS バージョンの合意、暗号スイート(合意された暗号アルゴリズムのセット)の選択、証明書および署名を行う認証局(CA)を通じてサーバーの認証を行い、会話の残りを暗号化する対称的な セッションキー を導出することです。
SSL プロキシは、この交換に参加し、単にそれを中継するのではありません。正確な手順は、どの鍵交換メソッドが使用されているかによります。
RSA ハンドシェイク(古い、もはや安全とは見なされない)
古い RSA ベースの交換では、クライアントがサポートされる TLS バージョン、暗号スイート、および クライアントランダム を持った クライアントハロー で開始します。サーバーは証明書、選択した暗号スイート、および サーバーランダム を含む サーバーハロー で応答します。クライアントは証明書を発行した CA に対して認証し、プレマスターシークレット を生成し、サーバーの公開鍵で暗号化して送信します。サーバーはそれを自分の秘密鍵で復号します。その後、両側はプレマスターシークレットと二つのランダム値からセッションキーを導出し、暗号化された フィニッシュ メッセージを交換し、対称的な暗号化を開始します。
この方式はもはや安全とは見なされておらず、主にフォワードセcrecy が欠如しているためです。後にサーバーの秘密鍵を取得した者は、過去のセッションを復号できてしまいます。
一時的なディフィー・ヘルマンハンドシェイク
ディフィー・ヘルマンの変種は同様の形を持ちながら、その欠点を解消します。サーバーはハンドシェイクメッセージにデジタル署名を追加し、クライアントがプレマスターシークレットを暗号化する代わりに、両側がディフィー・ヘルマンパラメータを交換し、それぞれ独立にプレマスターシークレットを計算します。秘密は決して送信されないため、その後トラフィックとサーバー鍵をキャプチャしても、それが明らかになることはありません — これが フォワードセcrecy です。セッションキーは以前と同様に、プレマスターシークレットと二つのランダム値から導出されます。
TLS 1.3 ハンドシェイク
TLS 1.3 は、RFC 8446 で標準化され、RSA 鍵交換と古い安全でない暗号スイートを完全に排除し、残りを簡略化します:
- クライアントハロー には、サーバーの好ましい方法を想定して鍵交換パラメータが既に含まれています。
- それにより、サーバーはマスターシークレットを即座に計算し、サーバーハロー、証明書、署名、サーバーランダム、フィニッシュ を一度のやり取りで応答します。
- クライアントはそれを検証し、同じマスターシークレットを導出し、自分の フィニッシュ を送信します。
その結果、ハンドシェイクがより速くなります — 2回の往復の代わりに1回の往復です。TLS 1.3 はまた 0-RTT 再開 を定義しています:以前の接続からの「再開メインシークレット」とセッショントークンを保持しているクライアントは、最初のメッセージで暗号化されたアプリケーションデータを送信でき、全く往復なしで行われます。
プロキシがこのすべての中でどこに位置するか
SSL プロキシが平文を読むためには、これらのハンドシェイクを消極的に観察することはできません — 暗号技術はそれを阻止するように特別に設計されています。代わりに、両側でハンドシェイクを完了します:クライアントに対して証明書を提示し、1つのセッションを交渉し、起源に向けてはクライアントとして行動し、2つ目を交渉します。両方のセッションキーを保持し、1つの接続に到着するトラフィックを復号し、他の接続から出る前にそれを再暗号化します。平文はプロキシ内部で短時間存在する — それが全体のメカニズムであり、全体のトレードオフです。
フォワード SSL プロキシ対リバース SSL プロキシ
同じ復号-検査-再暗号化メカニズムが反対方向に展開され、区別は誰が何を信頼するかにとって重要です。
フォワード SSL プロキシ は、クライアント側、組織の内部ユーザーとインターネットの間に位置します。アウトバウンド TLS 接続を傍受し、内部クライアントに自分の証明書を提示し、そのクライアントが内部で管理された CA を信頼することで置換を受け入れさせます。その後、トラフィックを復号し、検査またはフィルタリングし、実際の起源に再暗号化します。標準的な実装は、接続ごとに検査するかトラフィックを通すかを決定するためののぞき見/つなぎ替え/バンプフローを通じて機能する Squid の SSL-Bump 機能です。フォワードプロキシは、アウトバウンドのデータ損失防止、マルウェアと URL フィルタリング、利用規約の施行の背後にあるエンジンです。
リバースSSLプロキシは、サーバー側にあり、自己のオリジンサーバーの前に位置します。インバウンドクライアントTLSをエッジで終了させ、TLS終了を行い、オプションでそれに続くバックエンドで再暗号化します。公開向け証明書を所有しているため、証明書管理を中央集権化し、アプリケーションサーバーからの暗号処理の負担を軽減し、トラフィックがアプリケーションに届く前にWebアプリケーションファイアウォール(WAF)、検査、ロードバランシングを適用するための単一のポイントを提供します。
| 寸法 | フォワードSSLプロキシ | リバースSSLプロキシ |
|---|---|---|
| ポジション | 内部クライアントとインターネットの間 | 自己のオリジンサーバーの前 |
| 保護対象 | アウトバウンドトラフィック / 組織 | インバウンドトラフィック / アプリケーション |
| 誰の証明書 | クライアントが信頼する内部CAを介したプロキシの独自の証明書 | 保護されたサイトの公的証明書 |
| 一般的な仕事 | DLP、マルウェアおよびURLフィルタリング、適正使用ポリシー | TLS終了、WAF、ロードバランシング、暗号オフロード |
| 誰が運営するか | クライアント側の組織 | サイトまたはサービスのオーナー |
| 参照メカニズム | Squid SSL-Bump(ピーク / スプライス / バンプ) | ロードバランサーまたはゲートウェイでのエッジTLS終了 |
役立つ短縮形:フォワードプロキシは「私のネットワークから何が出て行っているか?」と答え、リバースプロキシは「私のサーバーに何が到着しているか?」と答えます。
暗号化、検査 & セキュリティ
すべてのプロキシを「より安全」として分類するのは魅力的ですが、SSLプロキシはより慎重に読むに値します。実際に提供されるのは制御された可視性であり、それにはコストが伴います。
利点の側面では、プロキシはTLSが提供するコア特性を保持し、1つを追加します。接続の各脚は依然として移動中に暗号化されているため機密性、各ハンドシェイクで証明書が検証されることから認証、そしてプロキシが存在する理由である可視性と制御 — セキュリティツールが脅威、漏洩、ポリシー違反をスキャンできるようにすることです。逆側にはパフォーマンスもあります:エッジでのTLS終了はアプリケーションサーバーからの暗号処理の負担を軽減し、クライアントに近いところでキャッシュを可能にします。
ただし、正直な観点は取引のトレードオフです。TLSを終了させることで、プロキシは意図的にエンドツーエンドの暗号化を破ります。プレーンテキストはプロキシ内で公開されているため、次のようになります:
- プロキシは高価値のターゲットになります。 それは鍵を保持し、背後のすべてのユーザーの復号化されたトラフィックを見ることができます。それを侵害されると、単一の接続以上のものが危険にさらされます。
- 信頼とプライバシーの負担が生じます。 フォワード側では、ユーザーの暗号化されたトラフィックが読まれています。それは開示され、範囲を定められ、管理されなければなりません。個人、財務、または健康データを含むトラフィックを検査することは、明確なプライバシーおよびコンプライアンス義務を伴います。
- 誤設定はTLSが保護するものを弱めます。 オリジン側での緩い証明書検証や弱い暗号選択は、プロキシが処理するすべての接続のセキュリティを静かに低下させる可能性があります。
これが、OWASPのトランスポート層保護推奨事項のような基準に準拠したガイダンスが、TLS検査を慎重に展開するための能力として扱う理由です:すべての脚で証明書を厳格に検証し、現代のプロトコルバージョンとフォワードセキュリティの暗号スイートを優先し、復号化するものを制限し、プロキシ自体をクリティカルインフラストラクチャとして保護します。SSLプロキシは、信頼関係の両端を所有する組織の制御面であり、個人がプライバシーを得るための手段ではありません。
使用ケース
復号化および検査機能は、いくつかの役割で登場します:
- 企業の出口セキュリティゲートウェイ(フォワード)。 適正使用ポリシーを強制し、マルウェアや危険なURLをブロックし、アウトバウンドHTTPSでデータ損失防止を実行します。
- TLS終了エッジ、ロードバランサー、またはWAF(リバース)。 証明書を中央集権化し、暗号をオフロードし、アプリケーションに届く前にWAFでインバウンドトラフィックをスクリーニングします。
- APIゲートウェイ。 TLSを終了させ、呼び出し元を認証し、単一の管理された境界でルーティングまたはレート制限ポリシーを適用します。
- 開発におけるトラフィックデバッグ。 エンジニアは、統合を構築およびテストする際に自分のHTTPSリクエストとレスポンスを読むためにローカルのインターセプトプロキシを実行します。
- HTTPSを介したデータ収集。 ターゲットが住宅IPから発信されるクリーンで暗号化された接続を見るようにプロキシインフラストラクチャを通じてスクレイパートラフィックをルーティングし、リクエスターの代理で宛先へのTLSを処理します。
SSLプロキシと他のプロキシタイプの違い
SSLプロキシは、動作するレイヤーによって定義されます。隣接するプロキシタイプと比較することで、何が異なるかが明確になります。
| プロキシタイプ | 動作するレイヤー | HTTPSのプレーンテキストを見る? | 一般的な使用法 |
|---|---|---|---|
| SSL / TLSプロキシ | TLSセッションレイヤー | はい — 意図的にTLSを終了させる | 検査、DLP、TLS終了、デバッグ |
| HTTPプロキシ | アプリケーション (HTTP) | プレーンHTTPのみに対応;HTTPSをCONNECTを介して不透明にトンネリング | キャッシング、基本的なフィルタリング、リクエストルーティング |
| SOCKSプロキシ | アプリケーション層の下 | いいえ — 生のバイトを転送し、プロトコル非依存 | 一般的なTCP/UDPトンネリング、広範なプロトコルサポート |
| 透過プロキシ | ネットワーク / アプリケーション | TLSのインターセプションも行う場合のみ | クライアントの設定なしに強制的なルーティング |
主な対比: SOCKSプロキシは持ち運ぶものを意図的に理解していない — TLSを理解することなくバイトを移動させます。プレーンHTTPプロキシは暗号化されていないHTTPを読み取ることができますが、HTTPSに直面すると、単にトンネルを開いて暗号化されたストリームをそのまま転送します。SSLプロキシは、内部に何があるかを扱うためにTLS層を特に理解し処理する唯一の種類です。
Scrapelessの適合
目的が信頼性のあるデータ収集であり、検査ゲートウェイを運営することではない場合、自分自身のSSLプロキシやTLS終了層を管理したくないことが一般的です。Scrapelessは、195か国以上の住宅プロキシと、HTTPSとTLS交換を内部で処理する抗検出クラウドブラウザ — Scrapeless Scraping Browser — を提供します。リクエストはScrapelessを通じてルーティングされ、宛先は住宅IPから発信されるクリーンで暗号化された接続を確認し、クラウドブラウザはJavaScriptをレンダリングし、クラウド側でフィンガープリンティングを管理します。
境界を正確にする価値があります: ScrapelessはSSL検査プロキシではなく、他の誰かの暗号化されたトラフィックを読むためのツールではありません。これは、輸送とレンダリングの作業を処理する管理されたプロキシおよびブラウザインフラストラクチャですので、あなた自身でその層を運営する必要はありません。プロキシ製品や、より広範なプロキシソリューションを探索し、価格ページでプランを確認し、ドキュメントで統合の詳細を見つけてください。
結論
SSLプロキシは通常のプロキシではできないことを行います: HTTPS内部を読み取ることができ、TLSをそれぞれの側で終了させ、両方のセッションキーを保持し、トラフィックを復号化して検査および再暗号化できます。前方に展開すれば、ネットワークから出て行くものを管理します; 逆方向に展開すれば、サーバーに到着するものを終了させて検査します。いずれにせよ、設計上は中間者であり、与えられる可視性は、管理される必要のある信頼、プライバシー、およびコンプライアンスの負担によって支払われます。そのため、信頼関係の両端を所有し、制御された可視性 — 検査、DLP、エッジでのTLS終了 — が必要なときには、SSLプロキシを求め、単に暗号化された住宅接続を介して公のウェブデータを信頼性高く収集することを目的とする場合には、管理されたインフラストラクチャを通じてルーティングしてください。関連する読み物として、クラウドプロキシとはや、VPS対プロキシをご覧ください。
FAQ
SSLプロキシはHTTPSプロキシと同じですか?
用語は重なり合い、しばしば互換的に使用されます。どちらもTLSで保護されたトラフィックを扱うため、意味のある違いは、プロキシが実際にTLSを終了させてプレーンテキストを読み取る(真のSSL/TLSインターセプション)か、単に暗号化されたトンネルを開きHTTPSのバイトを復号化せずに転送する(CONNECTトンネリングを行うプレーンHTTPプロキシ)かです。「SSLプロキシ」と言うと、通常は前者を指します。
SSLプロキシは私のトラフィックを復号化しますか?
はい — それが全体のポイントです。SSLプロキシはTLSを終了させることで、通過するトラフィックを復号化、検査、再暗号化できます。プロキシが復号化しない場合、それはSSLプロキシとして機能していません。これは、故意に配置された、管理された制御として扱うべき理由であり、プライバシー機能ではありません。
フォワードとリバース — どちらが必要ですか?
保護しているものによって決めてください。自分のユーザーからの外向きトラフィックを検査および制御するためにフォワードSSLプロキシを選びます(DLP、マルウェアおよびURLフィルタリング、ポリシー)。自分のサーバーの前で受信TCPを終了させるためにリバースSSLプロキシを選びます(証明書管理、WAF、負荷分散、クリプトオフロード)。
SSLプロキシの使用は合法ですか?
自分が所有または管理するインフラストラクチャとトラフィックで運営するのは標準的な実務です。ただし、該当するプライバシー義務に沿って開示・設定されている必要があります。あなたには権限がないトラフィックを傍受するのは別の問題です。管理するシステムに範囲を限定し、検査されるトラフィックの持ち主に開示し、法務に相談してください。
SSLプロキシは私に匿名性またはプライバシーを提供しますか?
いいえ。暗号化されたトラフィックへの可視性を得るために設計されており、それを隠すことを目的としていないため、それを通るトラフィックのプライバシーは低下します。出向き要求の匿名性はTLSインターセプションによってではなく、プロキシの送信IPとルーティングによって処理される別の懸念事項です。
ウェブデータを収集するために、自分自身のSSLプロキシを運営しなければなりませんか?
いいえ。データ収集のための実践的な方法は、管理された住宅プロキシインフラストラクチャを通じてリクエストをルーティングし、あなたのためにターゲットに対してHTTPSおよびTLSを処理させることであり、TLS終端層を自分で運用および保護する必要がなくなります。
AI駆動のデータパイプラインを構築する準備はできましたか?
私たちのコミュニティに参加して、無料プランを獲得し、プロキシ駆動のデータ収集パイプラインを構築している開発者とつながりましょう:Discord · Telegram。
Scrapelessのウェブサイトにサインアップして、無料のスクレイピングブラウザランタイムと住宅プロキシへのアクセスを取得し、パイプラインに必要なHTTPSリクエストを自分のSSLプロキシ層ではなく、管理されたインフラストラクチャを通じてルーティングしてください。
Scrapelessでは、適用される法律、規制、およびWebサイトのプライバシーポリシーを厳密に遵守しながら、公開されているデータのみにアクセスします。 このブログのコンテンツは、デモンストレーションのみを目的としており、違法または侵害の活動は含まれません。 このブログまたはサードパーティのリンクからの情報の使用に対するすべての責任を保証せず、放棄します。 スクレイピング活動に従事する前に、法律顧問に相談し、ターゲットウェブサイトの利用規約を確認するか、必要な許可を取得してください。
