本文介绍了HTTPS安全加速的工作原理、优势和注意事项。您可以通过开启HTTPS安全加速,实现客户端和全站加速节点之间请求的HTTPS加密,保障数据传输的安全性。您可通过以下内容了解和使用HTTPS加速:什么是HTTPS?工作原理计费说明功
本文介绍了HTTPS安全加速的工作原理、优势和注意事项。您可以通过开启HTTPS安全加速,实现客户端和全站加速节点之间请求的HTTPS加密,保障数据传输的安全性。
目录
什么是HTTPS?
HTTP协议以明文方式发送内容,不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道,简单来说,HTTPS是HTTP的安全版,即将HTTP用SSL/TLS协议进行封装,HTTPS的安全基础是SSL/TLS协议。HTTPS提供了加密通讯方法,被广泛用于万维网上安全敏感的通讯,例如交易支付。
https证书工作原理
在阿里云CDN控制台开启的HTTPS协议,将实现客户端和阿里云CDN节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密,还需要配置CDN节点以HTTPS协议回源到源站服务器(源站服务器需要支持HTTPS协议)。
HTTPS加密流程如下图所示。
- 通过CDN控制台在CDN节点上提前准备好SSL证书的公钥和私钥。
说明 公钥和私钥通过申请证书或者上传证书来获取。
- CDN节点将相应的SSL证书公钥传送给客户端。
- 客户端解析SSL证书公钥的正确性。
- 如果SSL证书公钥正确,则会生成一个随机数(密钥),并用公钥进行加密,并传输给CDN节点。
- 如果SSL证书公钥不正确,则SSL握手失败,需要重新配置HTTPS证书。
说明 正确性包括以下内容:
- 证书未过期。
- 发行证书的CA可靠。
- 发行者证书的公钥能够正确解开证书的发行者的数字签名。
- 证书上的域名和CDN实际加速的域名相匹配。
- CDN节点用之前的私钥进行解密,得到随机数(密钥)。
- CDN节点用随机数(密钥)对传输的数据进行加密。
- 客户端用随机数(密钥)对CDN节点的加密数据进行解密,拿到相应的数据。
https证书功能优势
HTTPS安全传输的优势:
- HTTPS安全传输,有效防止HTTP明文传输中的窃听、篡改、冒充和劫持风险。
- 数据传输过程中对您的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。
- 数据传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患,详情请参见使用HTTPS防止流量劫持。
- HTTPS是主流趋势:未来主流浏览器会将HTTP协议标识为不安全,谷歌浏览器Chrome 70以上版本以及Firefox已经在2018年将HTTP网站标识为不安全,若坚持使用HTTP协议,除了安全会埋下隐患外,终端客户在访问网站时出现的不安全标识,也将影响访问。
- 主流搜索引擎都已经对HTTPS网站进行搜索加权,使用HTTPS协议访问的网站将会得到更高的搜索排名。新版的HTTP/2协议访问体验更好,已经得到越来越多的支持,而支持HTTP/2必须支持HTTPS。因此,无论从安全、市场或用户体验来看,普及HTTPS是未来的一个方向,所以强烈建议您将访问协议升级到HTTPS。
https证书应用场景
主要将应用场景分为五类,如下表所示。
应用场景
说明
企业应用
若网站内容包含CRM、ERP等信息,这些信息属于企业级的机密信息,若在访问过程中被劫持或拦截窃取,对企业是灾难级的影响。
政务信息
政务网站的信息具备权威性,正确性等特征,需预防钓鱼欺诈网站和信息劫持,避免出现信息劫持或泄露引起社会公共的信任危机。
支付体系
支付过程中涉及到敏感信息,例如姓名、电话等,防止信息被劫持和伪装欺诈,需启用HTTPS加密传输,避免出现下单后下单客户会立即收到姓名、地址、下单内容,然后以卡单等理由要求客户按指示重新付款之类的诈骗信息,造成客户和企业的双重损失。
API接口
保护敏感信息或重要操作指令的传输,避免核心信息在传输过程中被劫持。
企业网站
激活安全标识(DV/OV)或地址栏企业名称标识(EV),为潜在客户带来更可信、更放心的访问体验。
HTTPS功能使用说明
HTTPS安全加速功能使用说明,如下表所示。
分类
注意事项
适用场景
- 所有的域名业务类型都支持开启HTTPS安全加速。
- 支持为泛域名配置HTTPS加速服务。
- 您可以更新证书,但请谨慎操作。更新HTTPS证书后1分钟内全网生效。
启用/停用HTTPS加速。
- 启用:您可以修改证书。您也可以配置强制跳转,通过HTTP协议来访问的用户也能跳转到更安全的HTTPS协议。
- 停用:停用后,系统不再支持HTTPS请求且不再保留证书或私钥信息。再次开启HTTPS安全加速时,需要重新从云盾SSL证书中心选择需要使用的证书。详细说明,请参见配置HTTPS证书。
计费
HTTPS安全加速属于增值服务,开启后将产生HTTPS请求数计费,详细计费标准,请参见增值服务计费。
说明 HTTPS根据请求数单独计费,费用不包含在CDN流量包内。请确保账户余额充足再开通HTTPS服务,以免因HTTPS服务欠费影响您的CDN服务。
证书管理
- 开启HTTPS安全加速功能的加速域名,您需要上传格式均为
PEM的证书和私钥。
说明 由于CDN采用的Tengine服务基于Nginx,因此只支持Nginx能读取的PEM格式的证书。详细说明,请参见证书格式说明。
- 上传的证书需要和私钥匹配,否则会校验出错。
- 不支持带密码的私钥。
- 只支持携带SNI信息的SSL/TLS握手。
- 您可以查看证书,但由于私钥信息敏感,不支持私钥查看。请妥善保管证书相关信息。
其他证书相关的常见问题,请参见更多证书问题。
HTTPS安全传输的优势:
- HTTPS安全传输,有效防止HTTP明文传输中的窃听、篡改、冒充和劫持风险。
- 数据传输过程中对您的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。
- 数据传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患,详情请参见使用HTTPS防止流量劫持。
- HTTPS是主流趋势:未来主流浏览器会将HTTP协议标识为不安全,谷歌浏览器Chrome 70以上版本以及Firefox已经在2018年将HTTP网站标识为不安全,若坚持使用HTTP协议,除了安全会埋下隐患外,终端客户在访问网站时出现的不安全标识,也将影响访问。
- 主流搜索引擎都已经对HTTPS网站进行搜索加权,使用HTTPS协议访问的网站将会得到更高的搜索排名。新版的HTTP/2协议访问体验更好,已经得到越来越多的支持,而支持HTTP/2必须支持HTTPS。因此,无论从安全、市场或用户体验来看,普及HTTPS是未来的一个方向,所以强烈建议您将访问协议升级到HTTPS。
主要将应用场景分为五类,如下表所示。
| 应用场景 | 说明 |
|---|---|
| 企业应用 | 若网站内容包含CRM、ERP等信息,这些信息属于企业级的机密信息,若在访问过程中被劫持或拦截窃取,对企业是灾难级的影响。 |
| 政务信息 | 政务网站的信息具备权威性,正确性等特征,需预防钓鱼欺诈网站和信息劫持,避免出现信息劫持或泄露引起社会公共的信任危机。 |
| 支付体系 | 支付过程中涉及到敏感信息,例如姓名、电话等,防止信息被劫持和伪装欺诈,需启用HTTPS加密传输,避免出现下单后下单客户会立即收到姓名、地址、下单内容,然后以卡单等理由要求客户按指示重新付款之类的诈骗信息,造成客户和企业的双重损失。 |
| API接口 | 保护敏感信息或重要操作指令的传输,避免核心信息在传输过程中被劫持。 |
| 企业网站 | 激活安全标识(DV/OV)或地址栏企业名称标识(EV),为潜在客户带来更可信、更放心的访问体验。 |
HTTPS安全加速功能使用说明,如下表所示。
| 分类 | 注意事项 |
|---|---|
| 适用场景 |
启用/停用HTTPS加速。
|
| 计费 |
HTTPS安全加速属于增值服务,开启后将产生HTTPS请求数计费,详细计费标准,请参见增值服务计费。 说明 HTTPS根据请求数单独计费,费用不包含在CDN流量包内。请确保账户余额充足再开通HTTPS服务,以免因HTTPS服务欠费影响您的CDN服务。
|
| 证书管理 |
其他证书相关的常见问题,请参见更多证书问题。 |
发表回复