全部产品
Search
文档中心

边缘安全加速:SSL/TLS

更新时间:Jan 02, 2025

HTTPS是在HTTP传输的基础上通过SSL/TLS协议对传输中的数据进行加密,可有效防止数据被第三方监听、截取和篡改。通过配置SSL/TLS证书,客户端可以验证与其连接的服务器的安全性。

基本概念

SSL/TLS证书

SSL(Secure Sockets Layer)即安全套接层协议,SSL协议位于TCP/IP协议与各种应用层协议之间,客户端(例如浏览器)可以验证与其连接的服务器的真实性和完整性,并使用加密来交换信息。IETF将SSL标准化后的名称改为TLS(Transport Layer Security),即传输层安全协议,因此通常将两者并称为SSL/TLS。

SSL/TLS证书是由权威的证书颁发机构(CA)签发的数字证书,用于网站的身份验证和数据加密。它们使得网站能够通过SSL/TLS协议进行安全通信,以确保数据传输的机密性和完整性。

HTTPS是HTTP协议的安全扩展,它通过利用SSL/TLS证书在HTTP的基础上为数据传输提供加密保护,从而实现了网站身份的验证和信息的安全传输。

使用HTTPS加密的必要性

  • HTTPS安全传输可有效防止HTTP明文传输中的窃听、篡改、冒充和劫持风险。数据传输过程中对您的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。

  • HTTPS是主流趋势,若坚持使用HTTP协议,除了安全隐患外,终端用户在访问网站时出现的不安全标识,也将影响用户体验。

  • 主流搜索引擎都已经对HTTPS网站进行搜索加权,使用HTTPS协议访问的网站将会得到更高的搜索排名。

全链路HTTPS加密

SSL/TLS配置可以分为接入链路配置和回源链路配置两部分如下:

  • 接入链路:即客户端和边缘安全加速 ESA节点之间的加密链路。接入链路的SSL/TLS功能可以在边缘证书客户端证书中进行配置。

  • 回源链路:即边缘安全加速 ESA节点和源站的加密链路。回源链路的SSL/TLS功能可以在源站证书中进行配置。

边缘证书加密流程如下图所示:

image

配置部署在边缘安全加速 ESA节点上的证书,以及需要在边缘安全加速 ESA节点上启用的SSL/TLS功能。在边缘配置证书并开启SSL/TLS开关后,客户端的访问将支持HTTPS协议。

客户端证书加密流程如下图所示:

image

当接入链路需要双向认证(mTLS)时,您可以在客户端证书中生成一本由边缘安全加速 ESA签发的证书,并将该证书配置在客户端。开启双向认证(mTLS)后,边缘安全加速 ESA将要求客户端发送证书,并对该证书进行校验。

源站证书加密流程如下图所示:

image

配置回源链路的相关SSL/TLS功能,例如回源协议和端口、源证书强制校验、回源双向认证。

  • 回源协议和端口:配置边缘安全加速 ESA回源访问源站时的协议(HTTP或HTTPS),以及不同协议对应的端口。

  • 源证书强制认证:当回源链路使用HTTPS协议时,ESA将收到源站返回的证书,该证书默认不进行校验。当开启源证书强制认证时,我们将校验源站返回证书的有效性,包括是否过期、CA验证是否通过等,并断开校验不通过的连接。

  • 回源双向认证:启用回源双向认证后,源站可以请求边缘安全加速 ESA的证书用于验证ESA的身份。

不同套餐的支持情况

Entrance

Pro

Premium

Enterprise

支持单域名的免费证书数量

10张

30张

50张

100张

支持的自定义证书的数量

5张

10张

20张

50张