什么是HTTPS加速
HTTPS是在HTTP傳輸?shù)幕A(chǔ)上通過TLS/SSL協(xié)議對(duì)傳輸中的數(shù)據(jù)進(jìn)行加密,可有效防止數(shù)據(jù)被第三方監(jiān)聽、截取和篡改。您可以在CDN上配置HTTPS證書,對(duì)客戶端和CDN之間的請(qǐng)求進(jìn)行HTTPS加密,保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>
使用HTTPS加密的必要性
HTTPS安全傳輸,有效防止HTTP明文傳輸中的竊聽、篡改、冒充和劫持風(fēng)險(xiǎn)。數(shù)據(jù)傳輸過程中對(duì)您的關(guān)鍵信息進(jìn)行加密,防止類似Session ID或者Cookie內(nèi)容被攻擊者捕獲造成的敏感信息泄露等安全隱患。
HTTPS是主流趨勢,若堅(jiān)持使用HTTP協(xié)議,除了安全會(huì)埋下隱患外,終端用戶在訪問網(wǎng)站時(shí)出現(xiàn)的不安全標(biāo)識(shí),也將影響用戶體驗(yàn)。
主流搜索引擎都已經(jīng)對(duì)HTTPS網(wǎng)站進(jìn)行搜索加權(quán),使用HTTPS協(xié)議訪問的網(wǎng)站將會(huì)得到更高的搜索排名。
SSL/TLS證書
SSL(Secure Sockets Layer)即安全套接層協(xié)議,SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,客戶端(例如瀏覽器)可以驗(yàn)證與其連接的服務(wù)器的真實(shí)性和完整性,并使用加密來交換信息。
IETF將SSL標(biāo)準(zhǔn)化后名稱被改為TLS(Transport Layer Security),即傳輸層安全協(xié)議,因此通常將兩者并稱為SSL/TLS。
SSL證書采用SSL協(xié)議進(jìn)行通信,是由權(quán)威機(jī)構(gòu)頒發(fā)給網(wǎng)站的可信憑證,具有網(wǎng)站身份驗(yàn)證和加密傳輸?shù)碾p重功能。
全鏈路HTTPS加密
當(dāng)客戶端向服務(wù)器發(fā)起請(qǐng)求時(shí),HTTPS加密流程如下圖所示:
在CDN上配置HTTPS證書,即可實(shí)現(xiàn)客戶端和CDN節(jié)點(diǎn)之間請(qǐng)求的HTTPS加密。
說明HTTPS安全加速屬于增值服務(wù),會(huì)在基礎(chǔ)服務(wù)計(jì)費(fèi)的基礎(chǔ)上根據(jù)HTTPS請(qǐng)求數(shù)額外計(jì)費(fèi),詳細(xì)計(jì)費(fèi)標(biāo)準(zhǔn),請(qǐng)參見靜態(tài)HTTPS請(qǐng)求數(shù)。
在源站上配置HTTPS證書,并配置CDN節(jié)點(diǎn)通過HTTPS協(xié)議回源到源站服務(wù)器以實(shí)現(xiàn)HTTPS加密。
說明如果需要實(shí)現(xiàn)全鏈路HTTPS加密,請(qǐng)確保源站支持HTTPS服務(wù),并設(shè)置HTTPS協(xié)議回源。
配置客戶端與CDN節(jié)點(diǎn)間的HTTPS安全加速
步驟一:準(zhǔn)備與加速域名匹配的證書。
僅支持PEM格式的證書,其他格式的證書請(qǐng)參照證書格式轉(zhuǎn)換方式進(jìn)行格式轉(zhuǎn)換。
如果需要申請(qǐng)證書,您可以在SSL證書控制臺(tái)申請(qǐng)個(gè)人測試證書(免費(fèi)版)或購買正式證書。
您也可以在第三方服務(wù)商申請(qǐng)證書,簽發(fā)的證書需滿足證書格式要求。詳細(xì)信息,請(qǐng)參見證書格式說明。
步驟二:開啟HTTPS安全加速
必需:準(zhǔn)備證書后,需在加速域名上配置HTTPS證書,才能開啟HTTPS安全加速。
可選:您可根據(jù)實(shí)際需求,配置更多功能。
分類
功能
說明
配置客戶端訪問協(xié)議
通過301重定向方式,您可根據(jù)需要將客戶端到CDN節(jié)點(diǎn)的HTTP請(qǐng)求強(qiáng)制跳轉(zhuǎn)為HTTPS請(qǐng)求或?qū)TTPS請(qǐng)求強(qiáng)制跳轉(zhuǎn)為HTTP請(qǐng)求。
強(qiáng)制客戶端使用HTTPS與CDN節(jié)點(diǎn)創(chuàng)建連接,降低第一次訪問被劫持的風(fēng)險(xiǎn)。
配置協(xié)議版本
HTTP/2(HTTP2.0)是繼HTTP1.1版本之后的新版HTTP協(xié)議,支持二進(jìn)制分幀、多路復(fù)用、首部壓縮等最新的特性,能夠大幅度提高Web性能,降低數(shù)據(jù)交互延遲。
設(shè)置TLS版本后,僅支持客戶端使用對(duì)應(yīng)版本TLS與CDN節(jié)點(diǎn)之間發(fā)送和接收請(qǐng)求,以滿足通信鏈路的安全性要求。
加速SSL證書校驗(yàn)
CDN節(jié)點(diǎn)預(yù)先緩存在線證書驗(yàn)證結(jié)果并下發(fā)給客戶端,無需瀏覽器直接向CA站點(diǎn)查詢證書狀態(tài),減少用戶驗(yàn)證時(shí)間。