SSL/TLS
本文为您介绍SSL/TLS协议的基本概念、其在HTTPS加密中的应用以及相关证书的作用。
基本概念
SSL/TLS协议及证书
SSL(Secure Sockets Layer)是一种位于TCP/IP协议与应用层协议之间的安全协议,用于验证服务器身份和加密通信数据。其标准化版本由IETF命名为TLS(Transport Layer Security),二者通常统称为SSL/TLS。
SSL/TLS证书是由权威机构(CA)签发的数字证书,用于网站的身份验证和数据加密,确保信息传输的机密性和完整性。
HTTPS是HTTP协议的安全扩展,通过SSL/TLS证书实现加密传输,保障网站身份验证和数据安全。
使用HTTPS加密的必要性
安全性提升:HTTPS加密传输有效防止窃听、篡改和劫持风险,保护用户的敏感信息(如Session ID和Cookie)免遭泄露。
用户体验优化:使用HTTP协议进行通信时,除了安全隐患外,终端设备会强制显示“不安全”警告标识,显著降低用户对网站的信任度;采用HTTPS可避免此类问题。
搜索引擎优化:主流搜索引擎优先推荐HTTPS网站,使用HTTPS有助于提高搜索排名。
全链路HTTPS加密
SSL/TLS配置可以分为两部分:接入链路和回源链路。
接入链路
回源链路
回源链路为源站与ESA节点间的加密链路,可配置回源协议和端口、源站证书校验以及回源双向校验。
回源协议和端口:配置回源协议(HTTP/HTTPS)以及对应的端口。
源站证书校验:开启源站证书校验后,ESA将校验证书有效性(如是否过期、CA验证是否通过等),并断开无效连接。
回源双向校验:开启回源双向校验后,ESA将发送自己的证书至源站,用于源站校验ESA身份。
回源链路加密流程如下图所示:
功能介绍
功能 | 功能描述 | |
边缘证书 | 通过在站点的权威DNS配置一条CNAME记录,您可以将免费证书申请时所需要的DCV校验托管至ESA,让其自动完成免费证书的签发和续签。 | |
您可以通过配置强制跳转HTTPS功能,将客户端到边缘安全加速 ESA节点的请求强制重定向为更安全的HTTPS请求。 | ||
当客户端对边缘安全加速 ESA节点发起HTTPS请求时,节点会响应请求并触发TLS握手流程,客户端与节点将共同商定一套兼容的加密套件和协议版本,以确保双向数据传输的安全性。您可根据业务需要调整TLS加密套件和协议版本。 | ||
OCSP Stapling功能可实现边缘安全加速 ESA预先缓存在线证书验证结果并下发给客户端,无需客户端直接向CA站点查询证书状态,从而减少证书验证时间,提升用户访问速度。 | ||
开启随机加密配置后,浏览器将可以通过加密的TLS链路访问HTTP链接,从而为尚未全量迁移至HTTPS的网站提供一定的安全能力。 | ||
通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与边缘安全加速 ESA节点创建连接,提高安全性。 | ||
客户端证书 | 您可以直接使用ESA提供的CA创建客户端证书,然后将生成的客户端证书部署在您的移动端应用程序上,我们会为每个账户生成一个唯一的CA,所有由ESA签发的客户端证书都将被节点默认为可信。 | |
通过将客户端证书与特定域名绑定,可以实现双向认证(mTLS),确保只有持有正确、有效客户端证书的用户才能访问特定服务或资源。 | ||
您可以通过配置WAF规则,对客户端证书认证失败的请求进行拦截。 | ||
源站证书 | 配置回源协议和端口后,ESA节点将根据指定的协议请求资源。 | |
当回源使用HTTPS协议时,ESA默认不会对源站返回的证书进行校验。但在部分安全性要求较高的场景,为了防止回源的流量被恶意劫持,我们需要开启源站证书校验功能。该功能开启后,ESA将会对源站返回证书的过期时间、域名匹配、根校验是否通过等信息进行检查,校验失败将会造成回源握手失败,从而向客户端返回502状态码。 | ||
mTLS(双向证书校验)是TLS协议的扩展,mTLS要求客户端和服务器互相验证身份,确保交互双方真实可靠。 |
不同套餐的支持情况
证书 | 基础版 | 标准版 | 高级版 | 企业版 |
单域名的免费证书数量 | 10张 | 30张 | 50张 | 100张 |
自定义证书的数量 | 5张 | 10张 | 20张 | 50张 |