爲什麼自己的訪問行爲和隱私數據突然會被偷走?爲什麼域名沒輸錯,結果卻跑到了一個釣魚網站上?用戶數據泄露、流量劫持、頁面篡改等安全事件頻發。繼百度全站啓用HTTPS加密後...
爲什麼自己的訪問行爲和隱私數據突然會被“偷走”?爲什麼域名沒輸錯,結果卻跑到了一個釣魚網站上?用戶數據泄露、流量劫持、頁面篡改等安全事件頻發。
繼百度全站啓用HTTPS加密後,阿里巴巴旗下的淘寶網&天貓商城也全站啓用HTTPS。而Google在過去的幾年裏,將Google搜索、Gmail、YouTube等產品從HTTP協議改爲加密的HTTPS版協議,其在2015年12月宣佈將調整Google搜索的索引系統,調整後的索引系統將HTTPS網頁爲優先索引對象。全站HTTPS爲什麼可以做到防劫持、防篡改的功效,有哪些優勢?
HTTPS是什麼,先簡單做個普及,瞭解的請掠過~~
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議 它是一個安全通信通道,它基於HTTP開發,用於在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換,簡單來說它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 協議。
HTTP 協議採用明文傳輸信息,存在信息竊聽、信息篡改和信息劫持的風險,而協議 TLS/SSL 具有身份驗證、信息加密和完整性校驗的功能,可以避免此類問題。
TLS/SSL 全稱安全傳輸層協議 (Transport LayerSecurity), 是介於 TCP 和HTTP 之間的一層安全協議,不影響原有的 TCP 協議和 HTTP 協議,所以使用 HTTPS 基本上不需要對 HTTP 頁面進行太多的改造。
前文討論了 HTTPS 原理與優勢,但通過增加新協議以實現更安全的通信必然需要付出代價,HTTPS 協議的性能損耗主要體現爲消耗較多的CPU資源和增加延時。
HTTPS延時特點是服務節點越近延時越小,CDN 天然離用戶最近,因此選擇使用 CDN 作爲 HTTPS 接入的入口,將能夠極大減少接入延時。不過,由於HTTPS協議需要複雜的加解密動作,相對於HTTP協議需要消耗大量的計算資源,加密解密也會消耗更長的傳輸時間,致使HTTPS網站相比普通的HTTP網站在加載、傳輸過程中面臨更大的挑戰。
HTTPS加速解決方案,基本上有以下幾種:
1、HTTPS證書加速:源站提供證書,包括公鑰證書和私鑰,CDN負責交互和內容緩存,CDN有緩存則直接響應,以HTTP或HTTPS的形式回源。這嚴重破壞了PKI安全信任的基本原則,即私鑰必須是嚴格保密、不能與第三方共享的。儘管也有替代的方案不要求用戶共享私鑰,比如使用客戶證書(Custom Certificate)或者共享證書(Shared Certificate)方案,但是祕鑰管理複雜,客戶網站無法自主的撤銷自己對CDN廠商的授權,作爲可信第三方的CA也沒有撤銷體現授權關係的共享證書。
2、無證書https加速:源站無需提供證書,客戶端無感知,CDN存放公鑰,源站存放私鑰。這一方案不要求源網站與CDN共享私鑰,而是在CDN與前端瀏覽器進行TLS的認證和祕鑰協商過程中,通過安全的信道把協商過程中的信息以HTTP或HTTPS的形式轉發給源網站,由源網站提取會話祕鑰或完成簽名以後再提交給CDN節點。
3、HTTPS數據通道加速:用戶請求CDN,CDN以獨有數據加速網絡,以最優路徑將數據送達最靠近源站的接入點,靠近源站節點將請求送到源站。此方案中,CDN不做緩存,僅以自有的加速網絡,將用戶的請求快速送到源站,降低公網延遲。
互聯網源站依據自身需求可靈活選擇以上解決方案,方案1適用僅對防劫持、防篡改有需求,而願意提供證書給CDN的源站加速。方案2適用於對安全要求更高,不願將私鑰共享給CDN的源站加速。方案3則適用於純動態數據,CDN無法緩存的源站加速。目前,市面上的CDN廠商基本上能支持方案1,而方案2、方案3只有少數支持,且在方案2的支持上,主流CDN廠商是HTTP回源,未能實現全程HTTPS加速。
隨着源網站對用戶訪問信息在傳送過程中有更高安全、更高防篡改、更高防劫持的要求,包括靜態、動態內容的全站將支持HTTPS,對CDN的要求將更高。
在全球各大科技公司的推動下,HTTPS加密通訊已逐漸成爲了主流的網絡通訊協議。2016年,HTTPS全站加速將大行其道!