Reverse-Proxy SNI basiertes Routing (Feature)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Dominik O.
Beiträge: 8
Registriert: Do 03.02.2022, 11:50

Reverse-Proxy SNI basiertes Routing (Feature)

Beitrag von Dominik O. »

Vorab muss man lobend hervorheben dass aufgrund der Let's Encrypt Implementierung überhaupt dieser Punkt erreicht wurde.
Mit der folgenden Funktion wäre ich gücklicher als unten genannte Alternative aufzubauen.

Szenario: Reverse Proxy zu bestehender Infrastruktur hinzufügen ohne bestehenden internen Let's Encrypt Workflow zu ändern.

Ein Server verwendet aktuell intern Let's Encrypt für z.B. mail_domain_de über eine Third Party Software.
Der Securepoint UTM soll nun als Reverse Proxy Aufrufe von extern auf den Server leiten (sowie nun weitere Subdomains für weitere Server) ohne für die bestehende Subdomain (nur diese eine) ein weiteres Let's Encrypt Zertifikat anzufordern oder ohne das bestehende auf den Reverse Proxy zu kopieren.

Stichwort: SNI-based routing without TLS termination

Soweit ich gelesen habe ist das aktuell beim Securepoint UTM nicht möglich.
Gängige Reverse Proxies besitzen diese Funktion (wenn auch teilweise durch Erweiterungen), was bedeutet dass ein sperater Reverse Proxy diese Funktion übernehmen kann.
Deshalb wäre es schön wenn dieses Feature Einzug erhält da es in Zukunft bei aktuellem Trend (neue TLS Versionen die TLS Intercept unterbinden) weitere Anwendungsfälle hierfür geben wird.

Als Antwort könnte man sagen dass ist mit Absicht nicht vorhanden bzw. nicht gewollt da sich damit die Netzwerkpakete (aufgrund der Tatsache dass sie nicht entschlüsselt werden können) nicht mehr untersuchen/analysieren lassen.
Ein Nein ist nicht in Planung würde mir dann ausreichen.

Antworten