什么是HTTPS加速
HTTPS加速功能是阿里云CDN为用户提供的安全增值服务,通过对客户端和CDN节点之间请求的HTTPS加密,保障数据传输的安全性。
使用HTTPS加速的必要性
HTTPS安全传输,有效防止HTTP明文传输中的窃听、篡改、冒充和劫持风险。数据传输过程中对您的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。
数据传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患,详情请参见使用HTTPS防止流量劫持。
HTTPS是主流趋势,未来主流浏览器会将HTTP协议标识为不安全,若坚持使用HTTP协议,除了安全会埋下隐患外,终端客户在访问网站时出现的不安全标识,也将影响访问。
主流搜索引擎都已经对HTTPS网站进行搜索加权,使用HTTPS协议访问的网站将会得到更高的搜索排名。
工作原理
在阿里云CDN控制台开启的HTTPS协议,将实现客户端和CDN节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密,还需要配置CDN节点以HTTPS协议回源到源站服务器(源站服务器需要支持HTTPS协议)。
HTTPS加密流程如下图所示。
通过CDN控制台在CDN节点上提前准备好SSL证书的公钥和私钥。
说明公钥和私钥通过申请证书或者上传证书来获取。
CDN节点将相应的SSL证书公钥传送给客户端。
客户端解析SSL证书公钥的正确性。
如果SSL证书公钥正确,则会生成一个随机数(密钥),并用公钥进行加密,并传输给CDN节点。
如果SSL证书公钥不正确,则SSL握手失败,需要重新配置HTTPS证书。
说明正确性包括以下内容:
证书未过期。
发行证书的CA可靠。
发行者证书的公钥能够正确解开证书的发行者的数字签名。
证书上的域名和CDN实际加速的域名相匹配。
CDN节点用之前的私钥进行解密,得到随机数(密钥)。
CDN节点用随机数(密钥)对传输的数据进行加密。
客户端用随机数(密钥)对CDN节点的加密数据进行解密,拿到相应的数据。
计费说明
HTTPS安全加速属于增值服务,会在基础服务计费的基础上根据HTTPS请求数额外计费,详细计费标准,请参见静态HTTPS请求数。
可使用静态HTTPS请求数资源包抵扣产生的静态HTTPS请求数,资源包详情请参见资源包介绍。
操作流程
准备证书(在云盾SSL产品上完成)
支持以下三种证书(三选一),请根据证书类型在阿里云SSL证书产品上完成对应操作。
免费证书(安全等级普通):申请免费DV单域名试用证书。
第三方服务商证书:需先上传至阿里云SSL证书平台,具体操作参见上传和共享SSL证书。
开启HTTPS安全加速(在CDN产品上完成)
必需:准备证书后,需在加速域名上配置HTTPS证书,才能开启HTTPS安全加速。
说明所有业务类型的域名都支持开启HTTPS安全加速。
支持为泛域名配置HTTPS加速服务。
可选:您可根据实际需求,配置高阶功能(例如强制跳转)。
功能
说明
HTTP/2(HTTP2.0)是继HTTP1.1版本之后的新版HTTP协议,支持二进制分帧、多路复用、首部压缩等最新的特性,能够大幅度提高Web性能,降低数据交互延迟,目前Chrome、Edge、Safari以及Firefox等主流浏览器都已经支持HTTP/2协议。
强制重定向终端用户的原请求方式。
强制客户端(如浏览器)使用HTTPS与服务器创建连接,降低第一次访问被劫持的风险。
保障您互联网通信的安全性和数据完整性。
CDN预先缓存在线证书验证结果并下发给客户端,无需浏览器直接向CA站点查询证书状态,从而减少用户验证时间。
