Auteur Sujet: Avoir un serveur cache pour le web chez soi (Lu 7208 fois)

Gabi · « **Réponse #12 le:** 19 avril 2017 à 15:44:56 »

Oui, j'avais vu. Mais ce que je voulais dire, c'est qu'un bon vieux cache HTTP (à base de Squid ou autre) est relativement facile à mettre en place (pas de config des clients par exemple) et apportera déjà un certain gain non négligeable. Avant de se lancer dans du HTTPS, qui me semble plus compliqué et plus risqué, ça me semble une première étape qui vaut le coup.

Hugues · « **Réponse #13 le:** 19 avril 2017 à 15:53:55 »

Si tu ne cache pas Google, l'intéret est limité, non ?

manoaratefy · « **Réponse #14 le:** 19 avril 2017 à 16:26:53 »

J'ai bien peur que le gain en HTTP soit trop peu significative. Bon, ce n'est qu'une supposition vu que je n'ai pas d'outil statistique à ma disposition. D'ailleurs, je bricole quelques programmes pour uploader l'historique vers une base de données MySQL pour générer les statistiques requises.

En même temps, j'ai découvert que les mises à jours Windows échangés valent plusieurs centaines de gigaoctets. Donc, je mets WSUS pour économiser encore plus.

Gabi · « **Réponse #15 le:** 19 avril 2017 à 16:34:05 »

Citer

Si tu ne cache pas Google, l'intéret est limité, non ?

Ben c'est dur à dire sans savoir quelle utilisation est faite de la bande passante

Mais une fois de plus, encore faut-il que les URLs soient cacheables... Les URL de playback sur Youtube par exemple sont en Cache-Control: private donc exit la mise en cache au niveau d'un proxy... (du moins en théorie).
Pour toutes les applications/sites où l'utilisateur est authentifié : soit ce sont des URLs propres à l'utilisateur, donc aucun intérêt à les conserver dans un cache public, soit ce sont des URLs d'assets statiques propres à une application (genre Google Docs), et on peut raisonnablement penser qu'elles sont correctement mises en cache par les navigateurs.

Y'a de gros gains à attendre dans tous les sites de news/media en HTTP simple, qui pour la plupart renvoient des bons headers de cache sur la plupart des assets statiques.

Et gros +1 pour WSUS, ça marche bien comme truc.
Si tu as des clients Windows 10 dans ton parc que tu ne mets pas sur ton AD, vérifie que la Windows Update Delivery Optimization est bien activée sur le réseau local, ça leur permet de s'échanger des mises à jour entre eux sans passer par ton serveur WSUS s'ils ne sont pas dans l'AD.

manoaratefy · « **Réponse #16 le:** 19 avril 2017 à 17:00:03 »

Citation de: Gabi le 19 avril 2017 à 16:34:05

Si tu as des clients Windows 10 dans ton parc que tu ne mets pas sur ton AD, vérifie que la Windows Update Delivery Optimization est bien activée sur le réseau local, ça leur permet de s'échanger des mises à jour entre eux sans passer par ton serveur WSUS s'ils ne sont pas dans l'AD.

Effectivement, j'ai quelques clients qui ne sont pas sur mon AD et que je ne peux pas contrôler. Serait-il possible de limiter la bande passante pour ces clients ? Vu que mon routeur ne dispose pas de QoS ...

Optix · « **Réponse #17 le:** 19 avril 2017 à 17:49:38 »

Citation de: Gabi le 19 avril 2017 à 14:50:13

Par pitié, ne jamais proposer de telles solutions, même si elles existent !
(...)
Bref, je ne sais pas quel est exactement le contexte ici,

Ah. Bah pourtant, le contexte est très clair, regarde bien le titre du sujet : "Avoir un serveur cache pour le web chez soi". Il est chez lui, dans sa boîte, il fait ce qu'il veut quand même

J'ai bossé quelques temps pour un grand groupe bancaire, bah pareil, les certifs étaient tous trafiqués. C'est quelque chose qui est répandu dans les grosses boîtes pour s'assurer que les gens font ce pour quoi ils sont payés, pas de quoi en faire un drame

Citer

J'ai bien peur que le gain en HTTP soit trop peu significative.

Fait un override de ton côté, et pousser l'expiration des assets (tout ce qui est images, css et js, pas les pages hein !) à plus d'un mois, là tu devrais bien le sentir.

Gabi · « **Réponse #18 le:** 19 avril 2017 à 18:08:57 »

Citation de: Optix le 19 avril 2017 à 17:49:38

Ah. Bah pourtant, le contexte est très clair, regarde bien le titre du sujet : "Avoir un serveur cache pour le web chez soi". Il est chez lui, dans sa boîte, il fait ce qu'il veut quand même

J'ai bossé quelques temps pour un grand groupe bancaire, bah pareil, les certifs étaient tous trafiqués. C'est quelque chose qui est répandu dans les grosses boîtes pour s'assurer que les gens font ce pour quoi ils sont payés, pas de quoi en faire un drame

Quand c'est fait correctement, et que le proxy valide correctement la validité de la chaîne du certificat avant de resigner avec son propre certificat, ça ne pose aucun problème. Beaucoup de grosses boîtes font ça malheureusement... (Ca pose quand même un certain nombre de problèmes concrets, cf les produits BlueCoat quand TLS 1.3 a été testé dans Google Chrome...)

C'était ça en fait qui m'a fait un peu bondir :

Citer

Le plus simple, c'est de configurer tes navigateurs (Internet Explorer en active directory) pour qu'ils ne bronchent pas si le certif n'est pas bon.

zoc · « **Réponse #19 le:** 27 avril 2017 à 07:04:07 »

Citation de: Gabi le 19 avril 2017 à 18:08:57

Quand c'est fait correctement, et que le proxy valide correctement la validité de la chaîne du certificat avant de resigner avec son propre certificat, ça ne pose aucun problème.

Pour la consultation de sites web oui.

Par contre, mais c'est un peu hors sujet, un proxy HTTPS casse obligatoirement toutes les applications "lourdes" ainsi que toutes les applications sur smartphone qui communiquent vers l'extérieur en HTTPS et font du SSL pinning (elles sont de plus en plus nombreuses), et ce même en installant le certificat du proxy sur l'équipement qui fait tourner l'app en question.