與所有暴露于互聯(lián)網(wǎng)的網(wǎng)絡(luò)一樣��,CDN必須防范中間人攻擊���,數(shù)據(jù)泄露以及使用DDoS攻擊淹沒目標(biāo)源服務(wù)器網(wǎng)絡(luò)的企圖���。 CDN可以有多種策略來緩解漏洞�����,包括正確的SSL/TLS加密和專用加密硬件�。
什么是SSL/TLS加密?
傳輸層安全性(TLS)是一種用于加密通過Internet發(fā)送的數(shù)據(jù)的協(xié)議��。TLS源于安全套接字層(SSL)�,這是第一個(gè)廣泛采用的Web加密協(xié)議,用于修復(fù)早期協(xié)議的大部分安全漏洞�。由于歷史原因����,該行業(yè)仍然可以互換使用這些術(shù)語(yǔ)��。您使用https://而不是http://開始訪問的任何網(wǎng)站都使用TLS/SSL進(jìn)行瀏覽器和服務(wù)器之間的通信�����。
為了防止不良行為者訪問重要數(shù)據(jù)����,必須采用適當(dāng)?shù)募用軐?shí)踐。由于互聯(lián)網(wǎng)的設(shè)計(jì)方式使得數(shù)據(jù)可以跨越多個(gè)位置傳輸���,因此可以在全球范圍內(nèi)攔截重要信息包�����。通過使用加密協(xié)議���,只有預(yù)期的接收者能夠解碼和讀取信息,并且防止中間人解碼所傳送的數(shù)據(jù)的內(nèi)容����。
TLS協(xié)議旨在提供3個(gè)組件:
身份驗(yàn)證 - 驗(yàn)證提供者的身份驗(yàn)證的有效性的能力
加密 - 將從一個(gè)主機(jī)發(fā)送到另一個(gè)主機(jī)的信息混淆的功能
完整性 - 檢測(cè)偽造和篡改的能力
什么是SSL證書���?
要啟用TLS,站點(diǎn)需要SSL證書和相應(yīng)的密鑰�。證書是包含有關(guān)站點(diǎn)所有者和非對(duì)稱密鑰對(duì)的公共一半的信息的文件。證書頒發(fā)機(jī)構(gòu)(CA)對(duì)證書進(jìn)行數(shù)字簽名�����,以驗(yàn)證證書中的信息是否正確��。通過信任證書��,您相信證書頒發(fā)機(jī)構(gòu)已經(jīng)完成了盡職調(diào)查�。
操作系統(tǒng)和瀏覽器通常具有他們隱含信任的證書頒發(fā)機(jī)構(gòu)列表。如果網(wǎng)站提供者由不受信任的證書頒發(fā)機(jī)構(gòu)簽名的證書����,則瀏覽器會(huì)警告訪問者可能正在進(jìn)行某些操作�����。
證書及其實(shí)施方式也可以根據(jù)強(qiáng)度����,協(xié)議支持和其他特征進(jìn)行獨(dú)立評(píng)級(jí)��。隨著更新��,更好的實(shí)施可用或其他因素導(dǎo)致認(rèn)證實(shí)施的整體安全性降低��,評(píng)級(jí)可能會(huì)隨著時(shí)間而變化���。如果原始服務(wù)器具有較舊的較低級(jí)SSL安全性實(shí)施,則其通常會(huì)被評(píng)級(jí)為較差并且可能易受損害��。
CDN具有額外的好處����,即使用CDN提供的證書為其網(wǎng)絡(luò)中托管的屬性的訪問者提供安全性。由于訪問者僅連接到CDN���,因此原始服務(wù)器和CDN之間使用的較舊或安全性較低的證書不會(huì)影響客戶端的體驗(yàn)�����。
實(shí)際上�,這種較弱的服務(wù)器到邊緣安全性仍然代表了一個(gè)漏洞��,應(yīng)該避免���,特別是考慮到使用免費(fèi)源加密可以輕松升級(jí)源服務(wù)器的安全性���。
適當(dāng)?shù)陌踩詫?duì)于搜索引擎也很重要;加密的網(wǎng)絡(luò)資源可以提高Google搜索的排名�����。
SSL / TLS連接的運(yùn)行方式與傳統(tǒng)的TCP / IP連接不同�。一旦建立了TCP連接的初始階段�,就會(huì)進(jìn)行單獨(dú)的交換以建立安全連接。本文將請(qǐng)求作為客戶端的安全連接的設(shè)備和作為服務(wù)器提供安全連接的設(shè)備��,如用戶加載使用SSL / TLS加密的網(wǎng)頁(yè)的情況�����。
首先����,TCP / IP握手分為3個(gè)步驟:
客戶端向服務(wù)器發(fā)送SYN數(shù)據(jù)包以啟動(dòng)連接。
服務(wù)器使用SYN / ACK數(shù)據(jù)包響應(yīng)該初始數(shù)據(jù)包��,以便確認(rèn)通信�。
最后���,客戶端返回ACK數(shù)據(jù)包以確認(rèn)從服務(wù)器接收到數(shù)據(jù)包���。完成此數(shù)據(jù)包發(fā)送和接收序列后�����,TCP連接處于打開狀態(tài)并能夠發(fā)送和接收數(shù)據(jù)�����。
發(fā)生TCP / IP握手后����,將開始TLS加密握手���。 TLS握手實(shí)現(xiàn)背后的詳細(xì)過程超出了本指南的范圍����。 相反��,我們將專注于握手的核心目的和完成該過程所需的時(shí)間����。
從高層次來看��,TLS握手有三個(gè)主要組件:
客戶端和服務(wù)器協(xié)商TLS版本以及要在通信中使用的加密密碼的類型���。
客戶端和服務(wù)器采取措施確保相互真實(shí)的通信。
交換密鑰以用于將來的加密通信�。
在下圖中,可視化TCP / IP握手和TLS握手中涉及的每個(gè)步驟��。 請(qǐng)記住�,每個(gè)箭頭代表一個(gè)單獨(dú)的通信,必須在客戶端和服務(wù)器之間進(jìn)行物理傳輸���。 由于使用TLS加密時(shí)來回消息總數(shù)增加���,因此網(wǎng)頁(yè)加載時(shí)間會(huì)增加。
出于說明的目的�����,可以說TCP握手花費(fèi)大約50ms���,TLS握手可能花費(fèi)大約110ms�。這主要是由于在客戶端和服務(wù)器之間雙向發(fā)送數(shù)據(jù)所花費(fèi)的時(shí)間。往返時(shí)間(RTT)的概念���,即信息從一個(gè)設(shè)備傳輸?shù)搅硪粋(gè)設(shè)備再返回的時(shí)間量,可用于量化連接創(chuàng)建的“昂貴”程度����。如果不進(jìn)行優(yōu)化且不使用CDN,則額外的RTT表示延遲增加并且最終用戶的加載時(shí)間減少��。幸運(yùn)的是�,可以進(jìn)行優(yōu)化以改善總加載時(shí)間并減少來回跳閘次數(shù)。
如何改善SSL延遲�?
SSL優(yōu)化可以減少RTT并縮短頁(yè)面加載時(shí)間。以下是可以優(yōu)化TLS連接的3種方法:
TLS會(huì)話恢復(fù) - 通過為其他請(qǐng)求恢復(fù)相同的會(huì)話���,CDN可以使源服務(wù)器和CDN網(wǎng)絡(luò)之間的連接保持更長(zhǎng)時(shí)間����。保持連接活動(dòng)可節(jié)省在客戶端需要未緩存的原始提取時(shí)重新協(xié)商CDN與源服務(wù)器之間的連接所花費(fèi)的時(shí)間��。只要原始服務(wù)器在保持與CDN的連接的同時(shí)接收到其他請(qǐng)求�����,該站點(diǎn)的其他訪問者將體驗(yàn)到更低的延遲。
會(huì)話恢復(fù)實(shí)時(shí)信息圖表
會(huì)話恢復(fù)的總成本低于完整TLS握手的50%���,這主要是因?yàn)闀?huì)話恢復(fù)僅需要一次往返����,而完整的TLS握手需要兩次���。此外���,會(huì)話恢復(fù)不需要任何大的有限域算法(新會(huì)話),因此與完全TLS握手相比���,客戶端的CPU成本幾乎可以忽略不計(jì)�����。對(duì)于移動(dòng)用戶而言�����,通過會(huì)話恢復(fù)提高性能意味著更具反應(yīng)性和電池壽命的沖浪體驗(yàn)�。
會(huì)話恢復(fù)CPU時(shí)間圖表
啟用TLS False Start - 當(dāng)訪問者第一次查看該站點(diǎn)時(shí)���,上面提到的會(huì)話恢復(fù)將沒有幫助���。 TLS False Start允許發(fā)送方在沒有完整TLS握手的情況下發(fā)送應(yīng)用程序數(shù)據(jù)��。
SSL / TLS False啟動(dòng)握手圖
False Start不會(huì)修改TLS協(xié)議本身,它只會(huì)修改數(shù)據(jù)傳輸?shù)臅r(shí)間�。一旦客戶端開始密鑰交換,就可以確保加密并開始數(shù)據(jù)傳輸���。此修改減少了往返次數(shù)���,減少了60ms所需的延遲。
零往返時(shí)間恢復(fù)(0-RTT) - 0-RTT允許會(huì)話恢復(fù)���,而無需在連接中添加額外的RTT延遲�����。對(duì)于使用TLS 1.3和0-RTT的恢復(fù)連接����,連接速度得到改善��,從而為用戶定期訪問的網(wǎng)站帶來更快,更流暢的Web體驗(yàn)��。這種速度提升在移動(dòng)網(wǎng)絡(luò)上尤其明顯���。
0-RTT是一種有效的改進(jìn)����,但并非沒有一些安全權(quán)衡�����。為了克服所謂的重放攻擊的風(fēng)險(xiǎn)�,CDN服務(wù)可以對(duì)HTTP請(qǐng)求的類型和允許的參數(shù)實(shí)施限制。要了解更多信息��,請(qǐng)瀏覽0-RTT簡(jiǎn)介����。
CDN防御DDoS攻擊
現(xiàn)代互聯(lián)網(wǎng)上Web屬性最重要的安全漏洞之一是使用分布式拒絕服務(wù)DDoS攻擊。隨著時(shí)間的推移��,DDoS攻擊的規(guī)模和復(fù)雜性都在增加��,攻擊者利用僵尸網(wǎng)絡(luò)來攻擊具有攻擊流量的網(wǎng)站�����。大規(guī)模且配置正確的CDN具有規(guī)模潛在的好處,可作為防御DDoS的保護(hù)因素;通過擁有足夠的數(shù)據(jù)中心位置和相當(dāng)大的帶寬功能�,CDN能夠承受并減輕一些容易淹沒目標(biāo)源服務(wù)器的傳入攻擊流量。
可以采取其他步驟來保護(hù)TLS連接�。了解有關(guān)防御吧CDN的更多信息并了解TLS攻擊。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
