本文介紹了HTTPS安全加速的工作原理、優勢、應用情境和操作步驟。您可以通過開啟HTTPS安全加速,實現用戶端和CDN節點(點播利用CDN實現加速)之間請求的HTTPS加密,保障資料轉送的安全性。
背景資訊
您可以在阿里雲CDN控制台完成HTTPS安全加速配置,實現用戶端和CDN節點之間請求的HTTPS加密。
CDN節點返回從來源站點擷取的資源給用戶端時,按照來源站點的配置方式進行。建議來源站點配置並開啟HTTPS,實現全鏈路的HTTPS加密。
工作原理
HTTPS加密流程如下圖所示。
用戶端發起HTTPS請求。
服務端產生公開金鑰和私密金鑰(可以自己製作,也可以向專業組織申請)。
服務端把相應的密鑰憑證傳送給用戶端。
用戶端解析認證的正確性。
如果認證正確,則會產生一個隨機數(密鑰),並用公開金鑰隨機數進行加密,傳輸給服務端。
如果認證不正確,則SSL握手失敗。
說明正確性包括:認證未到期、發行伺服器憑證的CA可靠、發行者認證的公開金鑰能夠正確解開伺服器憑證的發行者的數位簽章、伺服器憑證上的網域名稱和伺服器的實際網域名稱相匹配。
服務端用之前的私密金鑰進行解密,得到隨機數(密鑰)。
服務端用金鑰組傳輸的資料進行加密。
用戶端用金鑰組服務端的加密資料進行解密,拿到相應的資料。
功能優勢
HTTPS安全傳輸的優勢:
HTTPS安全傳輸,有效防止HTTP明文傳輸中的竊聽、篡改、冒充和劫持風險。
資料轉送過程中對您的關鍵資訊進行加密,防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感資訊泄露等安全隱患。
資料轉送過程中對資料進行完整性校正,防止DNS或內容遭第三方劫持、篡改等中間人攻擊(MITM)隱患。
HTTPS是主流趨勢:未來主流瀏覽器會將HTTP協議標識為不安全,若堅持使用HTTP協議,除了安全會埋下隱患外,終端客戶在訪問網站時出現的不安全標識,也將影響訪問。
主流瀏覽器對HTTPS網站進行搜尋加權,主流瀏覽器均支援HTTP/2,而支援HTTP/2必須支援HTTPS。無論從安全、市場或使用者體驗來看,普及HTTPS是未來的一個方向,所以強烈建議您將訪問協議升級到HTTPS。
應用情境
HTTPS安全傳輸的主要將應用情境分為五類,如下表所示 。
應用情境 | 說明 |
公司專屬應用程式 | 若網站內容包含CRM、ERP等資訊,這些資訊屬於企業級的機密資訊,若在訪問過程中被劫持或攔截竊取,對企業是災難級的影響。 |
政務資訊 | 政務網站的資訊具備權威性,正確性等特徵,需預防網路釣魚欺詐網站和資訊劫持,避免出現資訊劫持或泄露引起社會公用的信任危機。 |
支付體系 | 支付過程中,涉及到敏感資訊如姓名,電話等,防止資訊劫持和偽裝欺詐,需啟用HTTPS加密傳輸,避免出現下單後,下單客戶會立即收到姓名、地址、下單內容,然後以卡單等理由要求客戶按指示重新付款之類的詐騙資訊,造成客戶和企業的雙重損失。 |
API介面 | 保護敏感資訊或重要操作指令的傳輸,避免核心資訊在傳輸過程中被劫持。 |
企業網站 | 啟用綠色安全標識(DV或OV)或地址欄企業名稱標識(EV),為潛在客戶帶來更可信、更放心的訪問體驗。 |
操作步驟
開啟HTTPS安全加速需具備匹配加速網域名稱的認證。您可在 Apsara Stack Security認證服務 中,根據業務需要快速申請個人測試認證(免費版)或購買正式認證。
配置HTTPS認證。
在點播控制台左側導覽列選擇組態管理。
單擊 ,進入網域名稱管理頁面。
選擇您要配置的網域名稱,單擊配置。
單擊HTTPS配置,在HTTPS認證地區,單擊修改配置。
修改配置。
說明HTTPS認證到期或失效,可能導致播放失敗,請及時更新。
參數
說明
認證類型
Apsara Stack Security
您可以在SSL認證服務控制台快速申請各種品牌及各種類型認證,詳細內容,請參見認證申請。
當您申請完Apsara Stack Security個人測試認證(免費版)之後,認證類型可選擇Apsara Stack Security,選擇您申請的個人測試認證(免費版)。
個人測試認證(免費版)通常會在1~2個工作日簽發。等待期間,您也可以重新選擇上傳自訂認證或Apsara Stack Security認證。
說明根據CA中心審核流程,您申請的認證有可能會在幾個小時內完成簽發,也有可能需要2個工作日才完成簽發,都屬於正常現象,請您耐心等待即可。
個人測試認證(免費版)有效期間為3個月,在您使用過程中,如果關閉了HTTPS安全加速,當再次開啟使用個人測試認證(免費版)時,將直接使用已申請但未到期的認證。若開啟時認證已到期,您需要重新申請個人測試認證(免費版)。
自訂
如果認證列表中無當前適配的認證,您可以選擇自訂上傳。您需要在設定認證名稱後,上傳認證內容和私密金鑰,該認證將會在阿里雲Apsara Stack Security的認證服務中儲存。您可以在我的認證中查看。
說明上傳自訂類型的認證時,如果提示認證重複,您可以修改認證名稱後再重新上傳。
認證名稱
當認證類型選擇Apsara Stack Security或自訂時,需要配置認證名稱。
內容
當認證類型選擇自訂時,需要配置該參數。配置方法請參考內容輸入框下方的pem編碼參考範例。
私密金鑰
當認證類型選擇自訂時,需要配置該參數。配置方法請參考私密金鑰輸入框下方的pem編碼參考範例。
單擊確定完成配置。
後續步驟
更新HTTPS認證1分鐘後全網生效。您可以驗證認證是否生效,使用HTTPS方式訪問資源,如果瀏覽器中出現鎖樣的標識,則HTTPS安全加速生效。