SSL/TLS
本文为您介绍SSL/TLS证书的基本概念、HTTPS加密以及边缘安全加速 ESA支持的相关证书的基本概念。
基本概念
SSL/TLS证书
SSL(Secure Sockets Layer)即安全套接层协议,SSL协议位于TCP/IP协议与各种应用层协议之间,客户端(例如浏览器)可以验证与其连接的服务器的真实性和完整性,并使用加密来交换信息。IETF将SSL标准化后的名称改为TLS(Transport Layer Security),即传输层安全协议,因此通常将两者并称为SSL/TLS。
SSL/TLS证书是由权威的证书颁发机构(CA)签发的数字证书,用于网站的身份验证和数据加密。它们使得网站能够通过SSL/TLS协议进行安全通信,以确保数据传输的机密性和完整性。
HTTPS是HTTP协议的安全扩展,它通过利用SSL/TLS证书在HTTP的基础上为数据传输提供加密保护,从而实现了网站身份的验证和信息的安全传输。
使用HTTPS加密的必要性
HTTPS安全传输可有效防止HTTP明文传输中的窃听、篡改、冒充和劫持风险。数据传输过程中对您的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。
HTTPS是主流趋势,若坚持使用HTTP协议,除了安全隐患外,终端用户在访问网站时出现的不安全标识,也将影响用户体验。
主流搜索引擎都已经对HTTPS网站进行搜索加权,使用HTTPS协议访问的网站将会得到更高的搜索排名。
全链路HTTPS加密
SSL/TLS配置可以分为接入链路配置和回源链路配置两部分如下:
接入链路:即客户端和边缘安全加速 ESA节点之间的加密链路。接入链路的SSL/TLS功能可以在边缘证书和配置客户端证书中进行配置。
回源链路:即边缘安全加速 ESA节点和源站的加密链路。回源链路的SSL/TLS功能可以在源站证书中进行配置。
边缘证书加密流程如下图所示:
配置部署在边缘安全加速 ESA节点上的证书,以及需要在边缘安全加速 ESA节点上启用的SSL/TLS功能。在边缘配置证书并开启SSL/TLS开关后,客户端的访问将支持HTTPS协议。
客户端证书加密流程如下图所示:
当接入链路需要双向认证(mTLS)时,您可以在客户端证书中生成一本由边缘安全加速 ESA签发的证书,并将该证书配置在客户端。开启双向认证(mTLS)后,边缘安全加速 ESA将要求客户端发送证书,并对该证书进行校验。
源站证书加密流程如下图所示:
配置回源链路的相关SSL/TLS功能,例如回源协议和端口、源证书强制校验、回源双向认证。
回源协议和端口:配置边缘安全加速 ESA回源访问源站时的协议(HTTP或HTTPS),以及不同协议对应的端口。
源证书强制认证:当回源链路使用HTTPS协议时,ESA将收到源站返回的证书,该证书默认不进行校验。当开启源证书强制认证时,我们将校验源站返回证书的有效性,包括是否过期、CA验证是否通过等,并断开校验不通过的连接。
回源双向认证:启用回源双向认证后,源站可以请求边缘安全加速 ESA的证书用于验证ESA的身份。
功能介绍
功能 | 功能描述 | |
边缘证书 | 通过在站点的权威DNS配置一条CNAME记录,您可以将免费证书申请时所需要的DCV校验托管至ESA,让其自动完成免费证书的签发和续签。 | |
您可以通过配置强制跳转HTTPS功能,将客户端到边缘安全加速 ESA节点的请求强制重定向为更安全的HTTPS请求。 | ||
当客户端对边缘安全加速 ESA节点发起HTTPS请求时,节点会响应请求并触发TLS握手流程,客户端与节点将共同商定一套兼容的加密套件和协议版本,以确保双向数据传输的安全性。您可根据业务需要调整TLS加密套件和协议版本。 | ||
OCSP Stapling功能可实现边缘安全加速 ESA预先缓存在线证书验证结果并下发给客户端,无需客户端直接向CA站点查询证书状态,从而减少证书验证时间,提升用户访问速度。 | ||
开启随机加密配置后,浏览器将可以通过加密的TLS链路访问HTTP链接,从而为尚未全量迁移至HTTPS的网站提供一定的安全能力。 | ||
通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与边缘安全加速 ESA节点创建连接,提高安全性。 | ||
客户端证书 | 您可以直接使用ESA提供的CA创建客户端证书,然后将生成的客户端证书部署在您的移动端应用程序上,我们会为每个账户生成一个唯一的CA,所有由ESA签发的客户端证书都将被节点默认为可信。 | |
通过将客户端证书与特定域名绑定,可以实现双向认证(mTLS),确保只有持有正确、有效客户端证书的用户才能访问特定服务或资源。 | ||
您可以通过配置WAF规则,对客户端证书认证失败的请求进行拦截。 | ||
源站证书 | 配置回源协议和端口后,ESA节点将根据指定的协议请求资源。 | |
当回源使用HTTPS协议时,ESA默认不会对源站返回的证书进行校验。但在部分安全性要求较高的场景,为了防止回源的流量被恶意劫持,我们需要开启源站证书校验功能。该功能开启后,ESA将会对源站返回证书的过期时间、域名匹配、根校验是否通过等信息进行检查,校验失败将会造成回源握手失败,从而向客户端返回502状态码。 | ||
mTLS(双向证书校验)是TLS协议的扩展,mTLS要求客户端和服务器互相验证身份,确保交互双方真实可靠。 |
不同套餐的支持情况
证书 | 基础版 | 标准版 | 高级版 | 企业版 |
单域名的免费证书数量 | 10张 | 30张 | 50张 | 100张 |
自定义证书的数量 | 5张 | 10张 | 20张 | 50张 |