本文介紹了HTTPS安全加速的工作原理、優勢和注意事項。您可以通過開啟HTTPS安全加速,實現用戶端和CDN節點之間請求的HTTPS加密,保障資料轉送的安全性。

什麼是HTTPS?

HTTP協議以明文方式發送內容,不提供任何方式的資料加密。HTTPS協議是以安全為目標的HTTP通道,簡單來說,HTTPS是HTTP的安全版,即將HTTP用SSL/TLS協議進行封裝,HTTPS的安全基礎是SSL/TLS協議。HTTPS提供了身分識別驗證與加密通訊方法,被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付。

根據2017年EFF(Electronic Frontier Foundation)發布的報告,目前全球已有超過一半的網頁端流量採用了加密的HTTPS進行傳輸。

工作原理

在阿里雲CDN控制台開啟的HTTPS協議,將實現用戶端和阿里雲CDN節點之間請求的HTTPS加密。CDN節點返回從來源站點擷取的資源給用戶端時,按照來源站點的配置方式進行。建議來源站點配置並開啟HTTPS,實現全鏈路的HTTPS加密。

HTTPS加密流程如下圖所示。 示意图
  1. 用戶端發起HTTPS請求。
  2. 服務端提前準備好公開金鑰和私密金鑰。
    说明 公開金鑰和私密金鑰可以自己製作,可以向專業組織申請,也可以使用阿里雲CDN控制台申請免費認證。
  3. 服務端將相應的公開金鑰傳送給用戶端。
  4. 用戶端解析認證的正確性。
    • 如果認證正確,則會產生一個隨機數(密鑰),並用公開金鑰進行加密,傳輸給服務端。
    • 如果認證不正確,則SSL握手失敗,需要重新上傳認證進行認證。
    说明 正確性包括以下內容:
    • 認證未到期。
    • 發行伺服器憑證的CA可靠。
    • 發行者認證的公開金鑰能夠正確解開伺服器憑證的發行者的數位簽章。
    • 伺服器憑證上的網域名稱和伺服器的實際網域名稱相匹配。
  5. 服務端用之前的私密金鑰進行解密,得到隨機數(密鑰)。
  6. 服務端用隨機數(密鑰)對傳輸的資料進行加密。
  7. 用戶端用隨機數(密鑰)對服務端的加密資料進行解密,拿到相應的資料。

功能優勢

HTTPS安全傳輸的優勢:
  • HTTPS安全傳輸,有效防止HTTP明文傳輸中的竊聽、篡改、冒充和劫持風險。
  • 資料轉送過程中對您的關鍵資訊進行加密,防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感資訊泄露等安全隱患。
  • 資料轉送過程中對資料進行完整性校正,防止DNS或內容遭第三方劫持、篡改等中間人攻擊(MITM)隱患。
  • HTTPS是主流趨勢:未來主流瀏覽器會將HTTP協議標識為不安全,Google瀏覽器Chrome 70以上版本以及Firefox已經在2018年將HTTP網站標識為不安全,若堅持使用HTTP協議,除了安全會埋下隱患外,終端客戶在訪問網站時出現的不安全標識,也將影響訪問。
  • 主流瀏覽器對HTTPS網站進行搜尋加權,主流瀏覽器均支援HTTP/2,而支援HTTP/2必須支援HTTPS。無論從安全、市場或使用者體驗來看,普及HTTPS是未來的一個方向,所以強烈建議您將訪問協議升級到HTTPS。

應用情境

主要將應用情境分為五類,如下表所示。
應用情境 說明
公司專屬應用程式 若網站內容包含CRM、ERP等資訊,這些資訊屬於企業級的機密資訊,若在訪問過程中被劫持或攔截竊取,對企業是災難級的影響。
政務資訊 政務網站的資訊具備權威性,正確性等特徵,需預防網路釣魚欺詐網站和資訊劫持,避免出現資訊劫持或泄露引起社會公用的信任危機。
支付體系 支付過程中涉及到敏感資訊,例如姓名、電話等,防止資訊被劫持和偽裝欺詐,需啟用HTTPS加密傳輸,避免出現下單後下單客戶會立即收到姓名、地址、下單內容,然後以卡單等理由要求客戶按指示重新付款之類的詐騙資訊,造成客戶和企業的雙重損失。
API介面 保護敏感資訊或重要操作指令的傳輸,避免核心資訊在傳輸過程中被劫持。
企業網站 啟用安全標識(DV/OV)或地址欄企業名稱標識(EV),為潛在客戶帶來更可信、更放心的訪問體驗。

HTTPS功能使用說明

HTTPS安全加速功能使用說明,如下表所示。
分類 注意事項
配置
  • 支援開啟HTTPS安全加速功能的業務類型如下:
    • 圖片小檔案

      主要適用於各種門戶網站、電子商務類網站、新聞資訊類網站、娛樂遊戲類網站等。

    • 大檔案下載

      主要適用於各類大檔案的下載和分發加速,例如遊戲安裝包、應用程式更新、手機ROM升級、應用程式套件組合下載等,平均單個檔案大小在20 MB以上。

    • 視音頻點播

      主要適用於各類視音頻網站,例如影視類視頻網站、線上教育類視頻網站、新聞類視頻網站、短視頻社交類網站以及音頻類相關網站和應用。

  • 您可以配置泛網域名稱的HTTPS服務。
  • 您可以啟用或停止HTTPS安全加速。
    • 啟用:您可以修改認證,系統預設相容HTTP和HTTPS請求。您也可以 配置強制跳轉,自訂來源請求方式。
    • 停用:停用後,系統不再支援HTTPS請求且不再保留認證或私密金鑰資訊。再次開啟HTTPS安全加速時,需要重新上傳認證或私密金鑰。詳細說明,請參見 配置HTTPS認證
  • 您可以查看認證,但由於私密金鑰資訊敏感,不支援私密金鑰查看。請妥善保管認證相關資訊。
  • 您可以更新認證,但請謹慎操作。更新HTTPS認證後1分鐘內全網生效。
計費
HTTPS安全加速屬於增值服務,開啟後將產生HTTPS請求數計費,詳細計費標準,請參見 增值服務計費
说明 HTTPS根據請求數單獨計費,費用不包含在CDN流量包內。請確保賬戶餘額充足再開通HTTPS服務,以免因HTTPS服務欠費影響您的CDN服務。
認證
  • 開啟HTTPS安全加速功能的加速網域名稱,您需要上傳格式均為 PEM 的認證和私密金鑰。
    说明 由於CDN採用的Tengine服務基於Nginx,因此只支援Nginx能讀取的 PEM 格式的認證。詳細說明,請參見 認證格式說明
  • 上傳的認證需要和私密金鑰匹配,否則會校正出錯。
  • 不支援帶密碼的私密金鑰。
  • 只支援攜帶SNI資訊的SSL/TLS握手。

相關功能

為了資料轉送的安全,您可以根據實際業務需求,配置相關功能,如下表所示。
功能 說明
配置HTTPS認證 實現HTTPS安全加速。
配置HTTP/2設定 HTTP/2是最新的HTTP協議,Chrome、 IE11、Safari以及Firefox等主流瀏覽器已經支援HTTP/2協議。
配置強制跳轉 強制重新導向終端使用者的原請求方式。
配置TLS版本控制 保障您互連網通訊的安全性和資料完整性。
配置HSTS 強制用戶端(如瀏覽器)使用HTTPS與伺服器建立串連,降低第一次訪問被劫持的風險。