Normalmente, quando dois computadores se comunicam de forma segura, sem um serviço de proxy de cache como o Deflect, o cliente (por exemplo, um navegador) solicita o certificado TLS do servidor, verifica se confia no certificado e criptografa a conexão usando-o.
Os ISPs, as empresas e os governos – os proprietários das redes ou qualquer outro ator que esteja no meio entre o cliente e o servidor – não podem ver o que está dentro da comunicação.
Essa é uma boa solução para evitar intrusões mal-intencionadas entre seus leitores e seu site, mas ela claramente anula o objetivo do cache distribuído. Isso ocorre porque o servidor proxy de cache, como outras partes intermediárias, não tem acesso aos dados criptografados e, portanto, não pode armazená-los em cache.
Para superar esse problema, o Deflect desenvolveu um sistema que cria dois túneis criptografados em vez de apenas um – um para a conexão entre o público e as bordas do Deflect, onde seu site é armazenado em cache, e outro para a conexão entre a rede do Deflect e seu site real (origem).
O Deflect oferece várias opções para criptografar conexões com seu site e pode gerar certificados TLS para criptografar conexões entre seus leitores e as bordas do Deflect (certificados voltados para o público) e entre as bordas e seu site (certificados de origem).
O Deflect gera certificados TLS voltados para o público por meio da Let’s Encrypt, uma autoridade de certificação (CA) lançada em 2015 e cofundada pela Electronic Frontier Foundation, que emite certificados SSL gratuitos e fáceis de instalar com o objetivo explícito de facilitar e disseminar o uso da criptografia da Web.
Como os certificados Let’s Encrypt precisam ser renovados com frequência (a cada três meses), para criptografar as conexões entre as bordas e o seu servidor Web, o Deflect usa certificados de origem mais duradouros assinados por sua própria autoridade de certificação.
É claro que, se você já tiver um certificado TLS, poderá usá-lo para criptografar conexões entre o Deflect e seu site (certificado de origem), bem como entre o público e as bordas (certificado voltado para o público), mas nesse último caso você precisará compartilhar sua chave TLS privada conosco.
Se você preferir não compartilhá-lo com ninguém, podemos gerar um certificado Let’s Encrypt para criptografar as conexões que chegam a qualquer uma das bordas do Deflect, enquanto as conexões entre as bordas do Deflect e o seu servidor da Web serão criptografadas pelo seu próprio certificado.
Se você não está familiarizado com o TLS, mas acha que criptografar as conexões com seu site é uma boa ideia, estamos dispostos a ajudar! Entre em contato conosco pelo painel do Deflect e procuraremos uma solução que funcione para você.
