继百度全站启用HTTPS加密后,阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里,将Google搜索、Gmail、YouTube等产品从HTTP协议改为加密的HTTPS版协议,其在2015年12月宣布将调整Google搜索的索引系统,调整后的索引系统将HTTPS网页为优先索引对象。全站HTTPS为什么可以做到防劫持、防篡改的功效,有哪些优势?
HTTPS是什么,先简单做个普及,了解的请掠过~~
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。
HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。
TLS/SSL 全称安全传输层协议 (Transport LayerSecurity), 是介于 TCP 和HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。
前文讨论了 HTTPS 原理与优势,但通过增加新协议以实现更安全的通信必然需要付出代价,HTTPS 协议的性能损耗主要体现为消耗较多的CPU资源和增加延时。
HTTPS延时特点是服务节点越近延时越小,CDN 天然离用户最近,因此选择使用 CDN 作为 HTTPS 接入的入口,将能够极大减少接入延时。不过,由于HTTPS协议需要复杂的加解密动作,相对于HTTP协议需要消耗大量的计算资源,加密解密也会消耗更长的传输时间,致使HTTPS网站相比普通的HTTP网站在加载、传输过程中面临更大的挑战。
HTTPS加速解决方案,基本上有以下几种:
1、HTTPS证书加速:源站提供证书,包括公钥证书和私钥,CDN负责交互和内容缓存,CDN有缓存则直接响应,以HTTP或HTTPS的形式回源。这严重破坏了PKI安全信任的基本原则,即私钥必须是严格保密、不能与第三方共享的。尽管也有替代的方案不要求用户共享私钥,比如使用客户证书(Custom Certificate)或者共享证书(Shared Certificate)方案,但是秘钥管理复杂,客户网站无法自主的撤销自己对CDN厂商的授权,作为可信第三方的CA也没有撤销体现授权关系的共享证书。
2、无证书https加速:源站无需提供证书,客户端无感知,CDN存放公钥,源站存放私钥。这一方案不要求源网站与CDN共享私钥,而是在CDN与前端浏览器进行TLS的认证和秘钥协商过程中,通过安全的信道把协商过程中的信息以HTTP或HTTPS的形式转发给源网站,由源网站提取会话秘钥或完成签名以后再提交给CDN节点。
3、HTTPS数据通道加速:用户请求CDN,CDN以独有数据加速网络,以最优路径将数据送达最靠近源站的接入点,靠近源站节点将请求送到源站。此方案中,CDN不做缓存,仅以自有的加速网络,将用户的请求快速送到源站,降低公网延迟。
互联网源站依据自身需求可灵活选择以上解决方案,方案1适用仅对防劫持、防篡改有需求,而愿意提供证书给CDN的源站加速。方案2适用于对安全要求更高,不愿将私钥共享给CDN的源站加速。方案3则适用于纯动态数据,CDN无法缓存的源站加速。目前,市面上的CDN厂商基本上能支持方案1,而方案2、方案3只有少数支持,且在方案2的支持上,主流CDN厂商是HTTP回源,未能实现全程HTTPS加速。
随着源网站对用户访问信息在传送过程中有更高安全、更高防篡改、更高防劫持的要求,包括静态、动态内容的全站将支持HTTPS,对CDN的要求将更高。
在全球各大科技公司的推动下,HTTPS加密通讯已逐渐成为了主流的网络通讯协议。2016年,HTTPS全站加速将大行其道!
作为一家云分发和云计算资源服务提供商,沙塔信息也在近日推出相应方案,对上述多种HTTPS防劫持模式实现完美支持。
同时,沙塔信息将和思华携手,联合参展本年度CCBN盛会,展馆位置:北京中国国际展览中心(老国展)国际馆2号馆2403,届时欢迎新老用户光临。