用戶網站使用SSL證書再使用CDN時,SSL錯誤是什么意思?難道,安裝SSL證書的網站不能做CDN?其實不然,開啟加速之后,訪問網站的時候就會去CDN服務器獲取內容,對于未開啟https的網站來說,免費的CDN帶來很明顯的加速效果。但是對于開啟
https的網站,我們的證書安裝在網站而不是CND服務器,所以訪問的時候會提示不安全或者拒絕訪問。要了解SSL錯誤是有哪些原因,得具體了解cdn加速、cdn防御、ssl證書防御原理。
cdn加速:http://www.bxgb88.com/
cdn加速:提高網站的速度,增加可擴展性和安全性。早期cdn是將用戶重定向到靠近用戶的代理服務器(或緩存服務器)來減少Web訪問的延遲,以提升網站加載速度。這些年,CDN也開始幫助客戶隱藏原始網站IP,并將攻擊流量負載分配給多個代理服務器來提供DDoS緩解服務。通過在緩存服務器上部署Web應用程序防火墻,過濾對原始服務器的入侵。
cdn防御:在使用CDN加速時,服務器訪問終止于節點上的一個代理服務器,返回緩存的內容。
ssl證書防御:是基于,建立加密隧道以在客戶端和Web服務器之間傳遞敏感信息。獲得證書的網站,在訪問啟用網站時,客戶端可以通過驗證服務器的證書來驗證服務器的身份(例如,它是否由受信任的CA頒發,以及服務器域名是否與證書中列出的信息匹配)。
cdn加速為何會導致ssl錯誤?
①首先,使用cdn時,cdn服務器會切斷HTTPS通信的中間,并將HTTPS分成兩部分:最終用戶和CDN代理之間的前端通信服務器,以及CDN代理服務器和原始Web服務器之間的后端通信。在這種情況下,客戶端和Web服務器之間的安全隧道的建立現在涉及三方。雖然后端交互類似于原始HTTPS,但前端通信變得復雜。
②在HTTPS通信中添加其他方不僅需要更改安全隧道的設置(例如使用不同的證書),還需要額外的用戶感知和委派控制,在純粹的雙方端到端HTTPS模型中,沒有一個需要考慮。具體而言,當網站的所有者將其HTTPS的認證信息委托給某些CDN提供商時,應該有一種機制通知最終用戶該授權。
此外,網站所有者除了布置waf和防火墻,應該能夠根據自己的意愿,有效和獨立地從CDN提供商撤銷他/她的代表團(無需當前CDN提供商的批準,例如在更換CDN提供商的情況下)
。
ssl錯誤的解決方法:
在這些使用ssl證書和CDN的網站中,有15%的網站引發了無效證書的警報,對于那些沒有證書警告的人,主要是他們使用了兩種類型的證書:自定義證書和共享證書。
1、自定義證書:要求網站所有者將其證書和私鑰上載到CDN提供商。實質上,在網站和CDN提供商之間共享私鑰違反了公鑰加密的基本設置。實際上,原始網站的所有者通過與CDN提供商共享私鑰而面臨更多安全風險,因為CDN提供商可能將這些敏感信息分發到因特網上的所有節點。此外,網站不能獨立有效地撤銷其CDN提供商的代表團。
2、在共享證書的情況下,CDN依靠合作伙伴CA頒發對多個域名有效的證書。為確保Web客戶端收到有效證書,CDN提供商將客戶的域名添加到主題備用名稱(SAN)擴展[1]他的證書。但是,僅由共享證書表示的委派證明不完整(參見§IV-A2),這導致在向最終用戶顯示適當的安全指示符時喪失HTTPS的功能。
例如,假設網站所有者已申請EV(擴展驗證)證書以增強網站的保證級別,那么他將無法向網站的用戶顯示它,而是共享低級別DV(域驗證)
)屬于他的CDN提供商的證書指示符。而且,我們的經驗表明,在這種機制中也存在委托撤銷的問題。
對于后端通信,我們測量了五個CDN提供商的行為,發現它們都遠非完美。其中兩個使用HTTP而不是HTTPS進行后端通信。其他三個雖然使用HTTPS,但在建立安全通道時沒有執行適當的身份驗證,因此容易受到MITM攻擊。
如何解決使用CDN部署HTTPS的問題?
1、使用名為名稱約束證書的現有技術檢查潛在的解決方案。在此方法中,網站所有者扮演從屬CA的角色,向CDN提供商頒發證書,限制為所有者的域。雖然這個解決方案在理論上是可行的,并且沒有任何協議修改,但我們認為由于以下三個原因,它在部署中是不實際的。首先,我們在一些流行的Web瀏覽器中發現了一個漏洞,可以輕松繞過名稱約束。其次,由于需要運行從屬CA,該方法會給網站所有者帶來沉重的開銷。此外,由于嚴格的審查和審計責任,商業CA不太可能激勵他們的客戶成為從屬CA。
2、通過擴展名為DANE的新興技術提出另一種解決方案。在此解決方案中,網站所有者可以明確地向他的代表團顯示他的TLSA記錄,該記錄將網站和CDN提供商的證書相關聯。因此,最終用戶可以驗證原始網站和CDN提供商的身份,以及它們之間的委托。我們的分析和實現表明,該解決方案可以有效地解決CDN中的HTTPS問題。
總之,CDN會轉換IP,而SSL就是依靠IP進行加密zhi傳輸,所以它倆之間有沖突。其實很多CDN目前也開發出了支持SSL證書的模塊,很多免費DNS服務采用的都是CDN加速。要解決cdn與https之間的問題,除了分析CDN提供商中HTTPS的當前技術,識別其缺陷和實踐問題的測量。還需要進行證書名稱約束問題的發現和實驗,基于DANE的輕量級靈活解決方案,可解決CDN環境中的HTTPS身份驗證問題。
上一篇:
從卡頓到流暢,選對饑荒游戲服務器
下一篇:
服務器300m帶寬下載速度如何計算?
