本文档介绍了HTTPS安全加速的工作原理、优势和注意事项。您可以通过开启HTTPS安全加速,实现客户端和CDN节点之间请求的HTTPS加密,保障数据传输的安全性。

什么是HTTPS?

HTTP协议以明文方式发送内容,不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道,简单来说,HTTPS是HTTP的安全版,即将HTTP用SSL/TLS协议进行封装,HTTPS的安全基础是SSL/TLS协议。HTTPS提供了身份验证与加密通讯方法,被广泛用于万维网上安全敏感的通讯,例如交易支付。

根据2017年EFF(Electronic Frontier Foundation)发布的报告,目前全球已有超过一半的网页端流量采用了加密的HTTPS进行传输。

工作原理

在阿里云CDN控制台开启的HTTPS协议,将实现客户端和阿里云CDN节点之间请求的HTTPS加密。CDN节点返回从源站获取的资源给客户端时,按照源站的配置方式进行。建议源站配置并开启HTTPS,实现全链路的HTTPS加密。

HTTPS加密流程如下图所示。
流程图
  1. 客户端发起HTTPS请求。
  2. 服务端生成公钥和私钥(可以自己制作,也可以向专业组织申请)。
  3. 服务端把相应的公钥证书传送给客户端。
  4. 客户端解析证书的正确性。
    • 如果证书正确,则会生成一个随机数(密钥),并用公钥随机数进行加密,传输给服务端。
    • 如果证书不正确,则SSL握手失败。
    说明 正确性包括:证书未过期、发行服务器证书的CA可靠、发行者证书的公钥能够正确解开服务器证书的发行者的数字签名、服务器证书上的域名和服务器的实际域名相匹配。
  5. 服务端用之前的私钥进行解密,得到随机数(密钥)。
  6. 服务端用密钥对传输的数据进行加密。
  7. 客户端用密钥对服务端的加密数据进行解密,拿到相应的数据。

功能优势

  • HTTP明文传输,存在各类安全风险:
    • 窃听风险:第三方可以获知通信内容。
    • 篡改风险:第三方可以修改通信内容。
    • 冒充风险:第三方可以冒充他人身份参与通信。
    • 劫持风险:包括流量劫持、链路劫持、DNS劫持等。
  • HTTPS安全传输的优势:
    • 数据传输过程中对您的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。
    • 数据传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患,详情请参见使用HTTPS防止流量劫持
    • HTTPS是主流趋势:未来主流浏览器会将HTTP协议标识为不安全,谷歌浏览器Chrome 70以上版本以及Firefox已经在2018年将HTTP网站标识为不安全,若坚持使用HTTP协议,除了安全会埋下隐患外,终端客户在访问网站时出现的不安全标识,也将影响访问。
    • 百度与Google均对HTTPS网站进行搜索加权,主流浏览器均支持HTTP/2,而支持HTTP/2必须支持HTTPS。可以看出来,无论从安全,市场,还是用户体验来看,普及HTTPS是未来的一个方向,所以强烈建议您将访问协议升级到HTTPS。

应用场景

主要将应用场景分为五类,如下表所示 。
应用场景 说明
企业应用 若网站内容包含crm、erp等信息,这些信息属于企业级的机密信息,若在访问过程中被劫持或拦截窃取,对企业是灾难级的影响。
政务信息 政务网站的信息具备权威性,正确性等特征,需预防钓鱼欺诈网站和信息劫持,避免出现信息劫持或泄露引起社会公共的信任危机。
支付体系 支付过程中,涉及到敏感信息如姓名,电话等,防止信息劫持和伪装欺诈,需启用HTTPS加密传输,避免出现下单后,下单客户会立即收到姓名、地址、下单内容,然后以卡单等理由要求客户按指示重新付款之类诈骗信息,造成客户和企业的双重损失。
API接口 保护敏感信息或重要操作指令的传输,避免核心信息在传输过程中被劫持。
企业网站 激活绿色安全标识(DV/OV)或地址栏企业名称标识(EV),为潜在客户带来更可信、更放心的访问体验。

注意事项

HTTPS安全加速功能注意事项,如下表所示。
分类 注意事项
配置
  • 支持开启HTTPS安全加速功能的业务类型如下:
    • 图片小文件

      主要适用于各种门户网站、电子商务类网站、新闻资讯类站点或应用、政府或企业官网站点、娱乐游戏类站点或应用等。

    • 大文件下载

      主要适用于下载类站点和音视频的应用。

    • 视音频点播

      主要适用于各类视音频站点,如影视类视频网站、在线教育类视频网站、新闻类视频站点、短视频社交类网站以及音频类相关站点和应用。

    • 直播流媒体

      主要适用于交互性在线教育网站、游戏竞技类直播站点、个人秀场直播、事件类和垂直行业的直播平台等。

    • 全站加速

      主要适用于电商、社交、政企、游戏和金融平台。

  • 支持泛域名HTTPS服务。
  • 支持HTTPS安全加速的启用和停用。
    • 启用:您可以修改证书,系统默认兼容HTTP和HTTPS请求。您也可以配置强制跳转,自定义原请求方式。
    • 停用:停用后,系统不再支持HTTPS请求且不再保留证书或私钥信息。再次开启证书,需要重新上传证书或私钥。详细说明,请参见配置HTTPS证书
  • 您可以查看证书,但由于私钥信息敏感,不支持私钥查看。请妥善保管证书相关信息。
  • 您可以更新证书,但请谨慎操作。更新HTTPS证书后1分钟内全网生效。
计费
HTTPS安全加速属于增值服务,开启后将产生HTTPS请求数计费,详细计费标准请参见静态HTTPS请求数
说明 HTTPS根据请求数单独计费,费用不包含在CDN流量包内。请确保账户余额充足再开通HTTPS服务,以免因HTTPS服务欠费影响您的CDN服务。
证书
  • 开启HTTPS安全加速功能的加速域名,您需要上传格式均为PEM的证书和私钥。
    说明 由于CDN采用的Tengine服务基于Nginx,因此只支持Nginx能读取的PEM格式的证书。详细说明,请参见证书格式说明
  • 上传的证书需要和私钥匹配,否则会校验出错。
  • 不支持带密码的私钥。
  • 只支持携带SNI信息的SSL/TLS握手。

其他证书相关的常见问题,请参见更多证书问题

相关功能

为了数据传输的安全,您可以根据实际业务需求,配置相关功能,如下表所示。
功能 说明
配置HTTPS证书 实现HTTPS安全加速。
设置HTTP/2 HTTP/2是最新的HTTP协议,Chrome、 IE11、Safari以及Firefox等主流浏览器已经支持HTTP/2协议。
设置强制跳转 强制重定向终端用户的原请求方式。
设置TLS 保障您互联网通信的安全性和数据完整性。
设置HSTS 强制客户端(如浏览器)使用HTTPS与服务器创建连接,降低第一次访问被劫持的风险。