ESA menyediakan konfigurasi protokol SSL/TLS untuk mengenkripsi lalu lintas jaringan Anda, sehingga mencegah pencurian dan perusakan data.
Istilah
Protokol dan sertifikat SSL/TLS
Secure Sockets Layer (SSL) adalah protokol keamanan yang beroperasi antara protokol TCP/IP dan protokol lapisan aplikasi, digunakan untuk autentikasi identitas server serta enkripsi data komunikasi. Internet Engineering Task Force (IETF) menstandarkan protokol ini dan menamainya Transport Layer Security (TLS). SSL dan TLS sering dirujuk secara kolektif sebagai SSL/TLS.
Sertifikat SSL/TLS adalah sertifikat digital yang diterbitkan oleh certificate authority (CA), digunakan untuk otentikasi identitas website dan enkripsi data guna memastikan kerahasiaan serta integritas transfer data.
HTTPS adalah ekstensi aman dari protokol HTTP yang menggunakan sertifikat SSL/TLS untuk mengaktifkan transmisi terenkripsi, sehingga menjamin otentikasi identitas website dan keamanan data.
Kasus penggunaan
Keamanan yang lebih baik: HTTPS mengenkripsi transmisi data untuk mencegah penyadapan, perusakan, dan pembajakan, melindungi informasi sensitif pengguna seperti session ID dan cookies agar tidak terungkap.
Pengalaman pengguna yang dioptimalkan: Protokol HTTP dapat menyebabkan perangkat pengguna akhir menampilkan peringatan "tidak aman", yang secara signifikan mengurangi kepercayaan pengguna terhadap website. Penggunaan HTTPS mencegah masalah ini.
Optimisasi mesin pencari: Mesin pencari utama memberikan prioritas pada website HTTPS, sehingga membantu meningkatkan peringkat pencarian.
Transfer data end-to-end melalui HTTPS
Konfigurasi SSL/TLS dibagi menjadi dua bagian: tautan akses dan tautan origin fetch.
Akses
Tautan akses adalah koneksi terenkripsi antara client dan ESA point of presence (POP). Anda dapat mengonfigurasi fitur terkait di Edge Certificate dan Client Certificate.
Edge Certificate: Digunakan untuk autentikasi satu arah terhadap ESA POP oleh client. Setelah Anda mengonfigurasi sertifikat pada ESA POP dan mengaktifkan fitur SSL/TLS, client dapat mengakses layanan Anda melalui koneksi HTTPS terenkripsi.
Gambar berikut menunjukkan alur enkripsi untuk edge certificate:
Client Certificate: Digunakan dalam skenario mutual authentication (mTLS). Saat Anda mengaktifkan mTLS, Anda harus menginstal sertifikat digital yang dikeluarkan oleh ESA pada client dan mengaktifkan fitur verifikasi. Setelah diaktifkan, ESA menerapkan validasi client certificate untuk memastikan otentikasi identitas timbal balik.
Gambar berikut menunjukkan alur enkripsi untuk client certificate:
Origin fetch
Tautan origin fetch adalah koneksi terenkripsi antara origin server dan ESA POP. Anda dapat mengonfigurasi origin protocol and port, origin certificate verification, dan mutual authentication for origin fetch.
Origin protocol and port: Menentukan protokol origin fetch (HTTP atau HTTPS) dan port yang sesuai.
Verifikasi sertifikat asal: Saat diaktifkan, ESA memvalidasi efektivitas sertifikat, seperti apakah sertifikat telah kedaluwarsa atau lolos verifikasi CA, serta memutus koneksi yang tidak valid.
Mutual authentication for origin fetch: Saat diaktifkan, ESA mengirimkan sertifikatnya ke origin server, yang kemudian menggunakan sertifikat tersebut untuk mengotentikasi identitas ESA.
Gambar berikut menunjukkan alur enkripsi untuk origin fetch:
Fitur
Fitur | Deskripsi | |
Edge Certificate | Tambahkan CNAME record ke DNS otoritatif situs Anda. Hal ini memungkinkan Anda meng-host Domain Control Validation (DCV) check yang diperlukan untuk permohonan sertifikat gratis pada ESA. ESA kemudian secara otomatis menerbitkan dan memperbarui sertifikat gratis Anda. | |
Anda dapat menggunakan fitur Always Use HTTPS untuk force redirect permintaan client ke ESA points of presence (POPs) dari HTTP ke HTTPS. | ||
Saat client mengirimkan HTTPS request ke node tepi Edge Security Acceleration (ESA), node tersebut merespons dan memulai handshake Transport Layer Security (TLS). Client dan node melakukan negosiasi paket sandi dan versi protokol yang kompatibel untuk memastikan transmisi data dua arah yang aman. Anda dapat menyesuaikan paket sandi TLS dan versi protokol sesuai kebutuhan. | ||
OCSP adalah protokol yang disediakan oleh CA agar client dapat memverifikasi legitimasi dan validitas sertifikat secara real time. Setiap kali client menginisiasi permintaan, client mengirimkan OCSP query ke CA untuk memverifikasi sertifikat. Frekuensi OCSP query yang tinggi menurunkan efisiensi handshake Transport Layer Security (TLS) dan mengurangi kecepatan akses. | ||
Opportunistic encryption memungkinkan browser mengakses tautan HTTP melalui koneksi TLS terenkripsi. Hal ini meningkatkan keamanan untuk website yang belum sepenuhnya bermigrasi ke HTTPS. | ||
Aktifkan HTTP Strict Transport Security (HSTS) untuk memaksa client, seperti browser, terhubung ke Edge Security Acceleration (ESA) points of presence (POPs) menggunakan HTTPS. Hal ini meningkatkan keamanan koneksi. | ||
Client Certificate | Anda dapat menggunakan Certificate Authority (CA) yang disediakan oleh ESA untuk membuat client certificate. Anda kemudian dapat men-deploy client certificate yang dihasilkan pada aplikasi seluler Anda. ESA menghasilkan CA unik untuk setiap akun. Secara default, node-node mempercayai semua client certificate yang dikeluarkan oleh ESA. | |
Dengan meng-bind client certificate ke nama domain tertentu, Anda dapat menerapkan mutual authentication (mTLS). Hal ini memastikan bahwa hanya pengguna dengan client certificate yang valid yang dapat mengakses layanan atau sumber daya tertentu. | ||
Konfigurasikan aturan Web Application Firewall (WAF) untuk memblokir permintaan yang gagal dalam autentikasi client certificate. | ||
Origin Certificate | Jika dikonfigurasi, POP ESA meminta sumber daya menggunakan origin protocol and port yang Anda tentukan. | |
Secara default, ESA tidak memvalidasi origin certificate saat origin fetch menggunakan protokol HTTPS. Untuk mencegah pembajakan jahat terhadap network traffic origin fetch, aktifkan fitur origin certificate verification jika Anda menginginkan keamanan website yang lebih tinggi. Setelah diaktifkan, ESA memeriksa detail sertifikat origin server seperti waktu kedaluwarsa, nama domain, dan verifikasi root. Jika verifikasi gagal, handshake back-to-origin gagal, dan kode status 502 dikembalikan ke client. | ||
Mutual Transport Layer Security (mTLS) adalah ekstensi dari protokol TLS. mTLS mengharuskan client dan server saling mengotentikasi satu sama lain. |
Ketersediaan
Sertifikat | Entrance | Pro | Premium | Enterprise |
Jumlah sertifikat gratis untuk satu nama domain | 10 | 30 | 50 | 100 |
Jumlah sertifikat kustom | 5 | 10 | 20 | 50 |