CDN加速服务安全套接字层和传输层安全性



什么是SSL / TLS:
 
安全套接字层(SSL)及其后续传输层安全性(TLS)是通过网络提供专用加密通信的协议。
 
SSL / TLS连接的好处包括:
 
①隐私:两个连接网络之间的通信通过第三方无法获得的唯一密钥进行保护。
 
②身份验证:通信双方的身份使用公钥密码进行验证。
 
③完整性:认证算法确定消息是否已被更改。
 
④传输层安全性于1999年作为SSL的更新版本发布。该协议已被证明可以阻止SSL3.0中的某些漏洞,包括2014年POODLE攻击中攻击者利用该漏洞攻击者在加密交易中解密和提取信息的漏洞。
 
SSL/TLS证书:
 
SSL/TLS证书是一种数据文件,用于加密发送到服务器的信息并验证网站的身份。应用程序浏览器和操作系统维护由可信认证中心(CA)提供的根证书列表。
 
有几种类型的SSL / TLS证书,包括保护一个子域的单名证书,保护无限子域的通配符证书和多域证书。有两种形式的多域证书:
 
①主题备用名称(SAN):SAN允许将身份(如电子邮件地址和DNS名称,IP或URL)绑定到证书主题。这提供了使用单个证书保护多个域的能力。
 
②统一通信证书(UCC):UCC保护Microsoft Exchange Server和Office Communications Server,使其可以安全地与多个Web服务连接。
 
③另一种类型的SSL证书是扩展验证(EV)。EV证书向用户保证他们正在查看购买SSL证书的法人所拥有的网站,而不是冒名顶替者网站。用户的浏览器显示一个绿色地址栏,其中包含法人实体的名称以确认网站的有效性。
 
EV证书示例:
 
每个SSL / TLS证书都必须托管在一个唯一的IP地址上。由于CDN无法为使用其服务的每个网站分配独立IP,因此通常会使用多域证书。但是许多CDN提供的高级功能使客户能够租用单独的IP地址,这对于希望使用自己的定制/ EV证书的组织尤其有用。
 
SSL握手:
 
要建立SSL / TLS连接,必须执行以下过程:
 
①在TCP层客户端向服务器发送SYN(同步)数据包。
 
②服务器将SYN-ACK(同步确认)数据包发送回客户端。
 
③服务器向服务器发送ACK(确认)数据包。与ACK数据包一起,SSL / TLS客户端还会发送包含密码算法(密码套件)和随机字节字符串的client hello消息。
 
④服务器以包含所选加密套件,会话ID,数字证书和另一个随机字节字符串的ServerHello消息进行响应。如果需要服务器将发出一个包含支持的证书类型和CA名称的客户端证书请求。
 
⑤客户端验证服务器的证书,然后发送ClientKeyExchange。用于创建加密密钥的随机字节字符串。如有必要客户端还提供一个私钥和它自己的客户端证书,或者不存在证书的警告。最后客户端发送一个ChangeCipherSpec消息来表示从这里开始,通信将使用协商的密钥和密码套件进行加密。
 
⑥服务器用ChangeCipherSpec消息进行响应以确认。
 
⑦客户端和服务器现在可以在会话期间交换请求和响应。这些消息由秘密密钥对称加密。
 
使用CDN与SSL / TLS的好处
 
当安全套接字层客户端通过CDN连接到您的网站时,SSL握手会在客户端和CDN代理服务器之间发生,而不是托管您的网站的原始服务器。同时第二个加密通信通道在CDN和您的原点之间打开。使用CDN为SSL / TLS流量提供服务具有以下优点:
 
1.更好的性能
 
CDN减少了用户经历的往返时间(RTT),因为它们与本地CDN代理服务器进行交互,而不是直接与您的(可能位于更远的位置)来源进行交互。这对于建立传输层安全会话的速度具有显着的好处,因为TLS / SSL握手涉及六个交换机,相当于用户的RTT的三倍。例如将RTT从50ms减少到20ms的CDN将使TLS握手时间从150ms(RTT的三倍)减少到60ms。另外CDN使用优化设置,例如False Start和Session Resumption来提高性能。
 
2.更安全
 
使用CDN时用户的SSL / TLS客户端连接到CDN的SSL证书,而不是您自己的证书。CDN的证书通常是最高等级的即A +。这意味着使用CDN将为您的用户提供最高级别的SSL安全性,而不管您的原始服务器上正在使用哪种证书。此外使用CDN是实施HTTP严格传输安全性(HSTS)的简单方法--HSTS是一种安全机制,可轻松实现站点范围内的TLS保护。
 
CDN互联专业提供国内外高防cdn加速服务