HTTPS是以安全為目標的HTTP通道,為CDN的網路內容傳輸提供了更好的保障。用戶端在極速訪問內容的同時,可以更安全有效地瀏覽網站內容。本文為您介紹關於HTTPS的常見問題。
什麼是HTTPS?
超文本傳輸安全性通訊協定HTTPS(Hypertext Transfer Protocol Secure),是一種在HTTP協議基礎上進行傳輸加密的安全性通訊協定,能夠有效保障資料轉送的安全。HTTP協議以明文方式發送內容,不提供任何方式的資料加密。HTTPS協議是以安全為目標的HTTP通道,簡單來說,HTTPS是HTTP的安全版,即將HTTP用SSL或TLS協議進行封裝,HTTPS的安全基礎是SSL或TLS協議。HTTPS提供了身分識別驗證與加密通訊方法,被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付。當您在阿里雲CDN上配置HTTPS時,需要提供網域名稱對應的認證,並將認證部署在全網CDN節點,實現全網資料加密傳輸。
常見的HTTP攻擊類型有哪些?
HTTPS只是安全訪問的其中一環,如需全面保證網路安全,則還需要接入WAF、DDoS等防禦能力,以下為常見的HTTP攻擊類型:
SQL注入:利用現有應用程式,可以將惡意的SQL命令注入到後台資料庫引擎中並執行。也可以通過在Web表單中輸入惡意SQL語句得到一個存在安全性漏洞的網站上的資料庫,而不是按照設計者意圖去執行SQL語句。
跨站指令碼攻擊:跨站指令碼攻擊XSS(Cross-site scripting)是最常見和基本的攻擊Web網站的方法。攻擊者在網頁上發布包含攻擊性代碼的資料。當瀏覽者看到此網頁時,特定的指令碼就會以瀏覽者使用者的身份和許可權來執行。通過XSS可以較容易地修改使用者資料、竊取使用者資訊。
跨站請求偽造攻擊:跨站請求偽造CSRF(Cross-site request forgery)是另一種常見的攻擊。攻擊者通過各種方法偽造一個請求,模仿使用者提交表單的行為,從而達到修改使用者的資料或者執行特定任務的目的。為了假冒使用者的身份,CSRF攻擊和XSS攻擊通常會相互配合,但也可以通過其它手段,例如誘使使用者單擊一個包含攻擊的連結。
Http Heads攻擊:使用瀏覽器查看任何Web網站,無論您的Web網站採用何種技術和架構,都用到了HTTP協議。HTTP協議在Response header和content之間有一個空行,即兩組CRLF(0x0D 0A)字元,這個空行標誌著headers的結束和content的開始,攻擊者可以利用這一點。只要攻擊者有辦法將任一字元注入到Headers中,這種攻擊就可以發生。
重新導向攻擊:一種常用的攻擊手段是“釣魚”。釣魚攻擊者通常會發送給受害者一個合法連結,當您訪問連結時,會被導向一個非法網站,從而達到騙取使用者信任、竊取使用者資料的目的。為防止這種行為,我們必須對所有的重新導向操作進行審核,以避免重新導向到一個危險的地方。常見解決方案是白名單,將合法的要重新導向的URL添加到白名單中,非白名單上的網域名稱重新導向時拒絕。第二種解決方案是重新導向token,在合法的URL上加上token,重新導向時進行驗證。
網站只有登入才需要HTTPS嗎?
不是。您需要從以下幾個方面來分析:
從安全方面來看:一些頁面為HTTP,一些頁面為HTTPS,當通過HTTP或不安全的CDN服務載入其他資源(例如JS或CSS檔案)時,網站也存在使用者資訊暴露的風險,而全站HTTPS是防止這種風險最簡單的方法。
從效能方面來看:當網站存在HTTPS和HTTP兩種協議時,跳轉需對伺服器進行大量的重新導向,當這些重新導向被觸發時會減慢頁面的載入速度。
從全網來看:瀏覽器對HTTPS的支援會更友好,搜尋引擎也對HTTPS的收錄有更好的支援。
配置HTTPS時,需要配置哪些認證?
如果您僅需要加密用戶端至CDN節點的請求,在CDN上配置HTTPS認證即可。
如果您需要配置全鏈路HTTPS訪問,需要在CDN上配置HTTPS認證並在來源站點上配置HTTPS認證,詳情請參見:什麼是HTTPS加速。
開啟CDN的HTTPS加速後會額外收費嗎?
會額外收費。開啟CDN的HTTPS加速,實際開啟的是用戶端到CDN邊緣節點這段鏈路的HTTPS。因為SSL協議的握手和內容解密都需要計算,所以會增加CDN伺服器的CPU資源損耗,但不會增加您來源站點伺服器的資源損耗,因為CDN邊緣節點到您來源站點這段鏈路使用的仍然是HTTP協議,不會額外增加您來源站點的損耗。
如果您購買不同類型的認證,則需要額外付費。您也可以登入阿里雲數位憑證管理服務控制台申請個人測試認證(免費版)。個人測試認證(免費版)等級為DV,每個加速網域名稱可以申請一個個人測試認證(免費版),認證有效期間為3個月,到期後可以免費自動續簽。設定好HTTPS認證後,該網域名稱在CDN上的所有HTTPS請求數會收費。
IP黑白名單、User-Agent 黑名單、請求返回403/404時,HTTPS請求數是否會被計費?
HTTPS請求數會被計費,當命中某些策略規則,返回403和404的狀態代碼時,該請求是被正確響應了的,所以會被記一次HTTPS請求數;該條請求由於不攜帶任何的資源內容,所以請求的流量會非常小,計費流量也極小。
來源站點已經配置了HTTPS,CDN上還需要配置HTTPS嗎?
HTTPS是用戶端和服務端的互動,未使用CDN之前,是用戶端直接和來源站點互動,因此來源站點需要配置HTTPS。使用CDN之後,是用戶端和CDN互動,如果您需要以HTTPS的形式訪問CDN,則必須在CDN上配置HTTPS認證。在CDN上配置HTTPS認證的方法,請參見配置HTTPS認證。
開啟HTTPS加速會消耗更多資源或降低訪問速度嗎?
當來源站點開啟HTTPS時,相比於來源站點通過HTTP訪問在計算資源的消耗上會有所增加,主要來自於HTTPS握手過程中對非對稱加解密時的消耗,尤其在高並發情況下資源消耗增長明顯。對稱加解密消耗與HTTP基本一致,因此需要增加Session複用率,但直接通過HTTPS訪問來源站點相比於直接通過HTTP訪問來源站點耗時更長。
通過全站加速進行全鏈路HTTPS訪問時,SSL握手的平均時間會有所縮短,在高並發情況下,對於來源站點Session複用率會有明顯的提高,來源站點資源消耗會有所降低。
對於靜態內容:通過邊緣分發的方式,在增加握手時間消耗的同時,減少了傳輸時間的消耗,因此整體訪問上會有所減少,且靜態資源無需回源,減少了來源站點的互動,可以降低來源站點的資源消耗。
對於動態內容:在直接選取上比通過傳統公網訪問更加可控且路徑最優,動態請求必須回源,通過全站加速的網路回源,可以增加Session複用率,整體傳輸速度會有所提升。由於動態請求必須回源,因此非對稱加解密必不可少,來源站點的資源消耗會有所增加。但通過全站加速回源形成了全鏈路HTTPS訪問的方式,整體資源消耗上最優。
如何配置HTTPS認證?
您可以在CDN控制台中配置HTTPS認證,具體操作請參見配置HTTPS認證。
上傳HTTPS認證,提示認證重複怎麼辦?
當您上傳自訂上傳(認證+私密金鑰)類型的認證時,如果系統提示認證重複,您需要修改認證名稱後再重新上傳。
上傳第三方認證時,有多個.crt認證,如何上傳認證?
中級機構頒發的認證檔案包含多份認證,您需要將伺服器憑證與中間認證拼接成一份完整的認證後再上傳。
通過文字編輯器開啟所有*.PEM格式的認證檔案,將伺服器憑證放在第一位,中間認證放在第二位,認證之間不能有空行。通常情況下,憑證授權單位頒發認證時會有對應的說明,請注意查閱規則說明。
拼接後的認證如下圖所示。
配置HTTPS認證時提示“認證格式不對”,如何進行轉換?
HTTPS配置僅支援PEM格式的認證,不同的憑證授權單位對認證內容的上傳有不同的要求,具體格式要求請參見認證格式說明。如果您的認證格式不是PEM,請完成格式轉換後再上傳,具體請參見認證格式轉換方式。
來源站點的HTTPS認證更新了,CDN上需要同步更新嗎?
不需要。來源站點的HTTPS認證更新後不會影響CDN上的HTTPS認證,當您在CDN上配置的HTTPS認證將要到期或者已經到期時,您才需要在CDN上更新HTTPS認證。具體操作請參見配置HTTPS認證。
配置HSTS時,開啟包含子網域名稱後,子網域名稱上是否需要開啟HSTS?
子網域名稱上無需開啟HSTS,開啟“包含子網域名稱”後,HSTS策略將在全部子網域名稱中生效,請確保各子網域名稱支援正常HTTPS訪問,否則子網域名稱將無法訪問。
已經配置了HTTPS,為什麼用戶端還是HTTP訪問?
用戶端是以HTTP訪問還是HTTPS訪問完全是用戶端的行為,如果您希望用戶端強制使用HTTPS訪問,可以在CDN上開啟強制HTTPS跳轉。具體操作請參見配置強制跳轉。