本文为您介绍了HTTPS配置常见问题。

CDN开启HTTPS加速后,会有额外收费吗?

会额外收费。CDN开启HTTPS加速,开启的是客户端到CDN边缘节点这段链路的HTTPS。因为SSL协议的握手、内容解密都需要计算,所以会增加CDN服务器的CPU资源损耗。但是不会增加客户源站的服务器资源损耗,因为CDN边缘节点到客户源站这段链路使用的仍然是HTTP协议,对客户源站没有额外增加损耗。

  • 若您购买不同类型的证书,则需要额外付费。
    说明 您可以直接登录CDN控制台申请免费证书。免费证书等级为DV,每个加速域名可以申请一个免费证书,证书有效期为一年,到期后可以免费自动续签。
  • 设置好HTTPS证书后,该域名的所有在CDN上的HTTPS请求数会收费,静态HTTPS请求数收费标准为每万次0.05元。

开启HTTPS加速,会消耗更多资源或降低访问速度吗?

不会消耗更多服务资源,也不会降低访问速度。

您首次访问HTTPS站点比HTTP要慢,因为建立SSL连接需要的时间更长,首次页面加载速度慢了约10%。但是浏览器建立了活跃的keep-alive HTTPS连接后,后续的页面刷新性能和HTTP几乎无差别。

站点只有登录才需要HTTPS,其他都不需要HTTPS吗?

不是。
  • 从安全看,一些页面为HTTP,一些页面为HTTPS,当通过HTTP或不安全的CDN服务加载其他资源(例如JS或CSS文件)时网站也存在用户信息暴露的风险,而全站HTTPS是防止这种风险最简单的方法。
  • 从性能看,当网站存在HTTPS和HTTP两种协议时,跳转需对服务器进行大量的重定向,当这些重定向被触发时会减慢页面加载速度。
  • 从全网来看,浏览器对HTTPS的支持会更友好,搜索引擎也对HTTPS的收录有更好的支持。

常见的HTTP攻击类型有哪些?

HTTPS只是安全访问的其中一环,如需全面保证网络安全,则还需要接入WAF、DDOS等防御能力,以下为常见的HTTP攻击类型:

  • SQL注入:它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
  • 跨站脚本攻击:跨站脚本攻击XSS(Cross-site scripting)是最常见和基本的攻击WEB网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用 户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息。
  • 跨站请求伪造攻击:跨站请求伪造CSRF(Cross-site request forgery)是另一种常见的攻击。攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据,或者执行特定任务的目的。为了假冒用户的身份,CSRF攻击常常和XSS攻击配合起来做,但也可以通过其它手段,例如诱使用户点击一个包含攻击的链接。
  • Http Heads攻击:凡是用浏览器查看任何WEB网站,无论您的WEB网站采用何种技术和框架,都用到了HTTP协议。HTTP协议在Response header和content之间,有一个空行,即两组CRLF(0x0D 0A)字符。这个空行标志着headers的结束和content的开始。“聪明”的攻击者可以利用这一点。只要攻击者有办法将任意字符“注入”到 headers中,这种攻击就可以发生。
  • 重定向攻击:一种常用的攻击手段是“钓鱼”。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的。为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方。常见解决方案是白名单,将合法的要重定向 的url加到白名单中,非白名单上的域名重定向时拒绝。第二种解决方案是重定向token,在合法的url上加上token,重定向时进行验证。