本文旨在解答關於SSL/TLS的常見問題,協助您更好理解相關的概念、功能、應用情境等。
網站提示認證風險如何處理?
問題描述
在邊緣安全加速 ESA控制台上已經為網域名稱配置了HTTPS認證,使用電腦瀏覽網站時,仍提示認證風險。
可能原因及處理方法
認證已到期:您需要為認證續約,續約成功後在ESA控制台上及時更新認證。如果您是在阿里雲SSL認證產品中購買的認證,請參見SSL認證續約與到期處理進行續約操作,並更新認證。
系統時間不正確:檢查電腦的系統時間是否正確,系統時間不正確會導致認證到期或校正不成功,從而提示認證風險。您需要將系統時間修改正確後再嘗試瀏覽網站。
使用了自簽名HTTPS認證:由自己產生的、非CA機構頒發的認證,稱為自我簽署憑證。自簽名HTTPS認證,不受各大電腦瀏覽器信任,容易被仿冒和遭受中間人攻擊,因此會有風險提示。建議更換成由可靠的CA機構簽發的HTTPS認證,您可以在阿里雲SSL認證產品上選購認證。
網頁內有HTTP連結資源,即網頁使用了HTTP協議的連結:將HTTP協議連結修改為HTTPS協議連結進行訪問。
TLS版本過低:SSL/TLS中有六種協議,分別是SSLv2、SSLv3、TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3,TLSv1.2和TLSv1.3是目前公認的安全的協議,您需要在ESA控制台關閉低版本的TLS協議,啟用TLSv1.2或TLSv1.3協議。具體操作,請參見配置TLS版本與加密套件。
使用了加密強度低的加密套件:建議您使用128位的AES-GCM密碼編譯演算法進
ESA免費認證到期後如何處理?
ESA支援對免費認證進行自動續簽且不會影響網域名稱已部署的原認證:
自動續簽時間:在免費認證到期前的15天,ESA會嘗試對認證進行自動續簽,無需重新申請也不會消耗認證個數。
續簽失敗的風險:由於免費認證由Let's Encrypt簽發,可能存在一定的續簽失敗風險(如網域名稱解析異常、驗證失敗等)。
如果自動續簽失敗,ESA會通過簡訊和郵件通知您。此時,您需要手動上傳新的認證,以免影響業務。
什麼是HTTPS?
超文本傳輸安全性通訊協定HTTPS(Hypertext Transfer Protocol Secure),是一種在HTTP協議基礎上進行傳輸加密的安全性通訊協定,能夠有效保障資料轉送的安全。HTTP協議以明文方式發送內容,不提供任何方式的資料加密。HTTPS協議是以安全為目標的HTTP通道,簡單來說,HTTPS是HTTP的安全版,即將HTTP用SSL或TLS協議進行封裝,HTTPS的安全基礎是SSL或TLS協議。HTTPS提供了身分識別驗證與加密通訊方法,被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付。當您在ESA上配置HTTPS時,可以參考SSL/TLS快速上手將認證部署在全網ESA節點,實現全網資料加密傳輸。