什么是HTTPS加速
HTTPS是在HTTP傳輸?shù)幕A上通過TLS/SSL協(xié)議對傳輸中的數(shù)據(jù)進行加密,可有效防止數(shù)據(jù)被第三方監(jiān)聽、截取和篡改。您可以在CDN上配置HTTPS證書,對客戶端和CDN之間的請求進行HTTPS加密,保障數(shù)據(jù)傳輸?shù)陌踩浴?/p>
使用HTTPS加密的必要性
HTTPS安全傳輸,有效防止HTTP明文傳輸中的竊聽、篡改、冒充和劫持風險。數(shù)據(jù)傳輸過程中對您的關鍵信息進行加密,防止類似Session ID或者Cookie內(nèi)容被攻擊者捕獲造成的敏感信息泄露等安全隱患。
HTTPS是主流趨勢,若堅持使用HTTP協(xié)議,除了安全會埋下隱患外,終端用戶在訪問網(wǎng)站時出現(xiàn)的不安全標識,也將影響用戶體驗。
主流搜索引擎都已經(jīng)對HTTPS網(wǎng)站進行搜索加權,使用HTTPS協(xié)議訪問的網(wǎng)站將會得到更高的搜索排名。
SSL/TLS證書
SSL(Secure Sockets Layer)即安全套接層協(xié)議,SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間,客戶端(例如瀏覽器)可以驗證與其連接的服務器的真實性和完整性,并使用加密來交換信息。
IETF將SSL標準化后名稱被改為TLS(Transport Layer Security),即傳輸層安全協(xié)議,因此通常將兩者并稱為SSL/TLS。
SSL證書采用SSL協(xié)議進行通信,是由權威機構頒發(fā)給網(wǎng)站的可信憑證,具有網(wǎng)站身份驗證和加密傳輸?shù)碾p重功能。
全鏈路HTTPS加密
當客戶端向服務器發(fā)起請求時,HTTPS加密流程如下圖所示:
在CDN上配置HTTPS證書,即可實現(xiàn)客戶端和CDN節(jié)點之間請求的HTTPS加密。
說明HTTPS安全加速屬于增值服務,會在基礎服務計費的基礎上根據(jù)HTTPS請求數(shù)額外計費,詳細計費標準,請參見靜態(tài)HTTPS請求數(shù)。
在源站上配置HTTPS證書,并配置CDN節(jié)點通過HTTPS協(xié)議回源到源站服務器以實現(xiàn)HTTPS加密。
說明如果需要實現(xiàn)全鏈路HTTPS加密,請確保源站支持HTTPS服務,并設置HTTPS協(xié)議回源。
配置客戶端與CDN節(jié)點間的HTTPS安全加速
步驟一:準備與加速域名匹配的證書。
僅支持PEM格式的證書,其他格式的證書請參照證書格式轉(zhuǎn)換方式進行格式轉(zhuǎn)換。
如果需要申請證書,您可以在SSL證書控制臺申請個人測試證書(免費版)或購買正式證書。
您也可以在第三方服務商申請證書,簽發(fā)的證書需滿足證書格式要求。詳細信息,請參見證書格式說明。
步驟二:開啟HTTPS安全加速
必需:準備證書后,需在加速域名上配置HTTPS證書,才能開啟HTTPS安全加速。
可選:您可根據(jù)實際需求,配置更多功能。
分類
功能
說明
配置客戶端訪問協(xié)議
通過301重定向方式,您可根據(jù)需要將客戶端到CDN節(jié)點的HTTP請求強制跳轉(zhuǎn)為HTTPS請求或?qū)TTPS請求強制跳轉(zhuǎn)為HTTP請求。
強制客戶端使用HTTPS與CDN節(jié)點創(chuàng)建連接,降低第一次訪問被劫持的風險。
配置協(xié)議版本
HTTP/2(HTTP2.0)是繼HTTP1.1版本之后的新版HTTP協(xié)議,支持二進制分幀、多路復用、首部壓縮等最新的特性,能夠大幅度提高Web性能,降低數(shù)據(jù)交互延遲。
設置TLS版本后,僅支持客戶端使用對應版本TLS與CDN節(jié)點之間發(fā)送和接收請求,以滿足通信鏈路的安全性要求。
加速SSL證書校驗
CDN節(jié)點預先緩存在線證書驗證結果并下發(fā)給客戶端,無需瀏覽器直接向CA站點查詢證書狀態(tài),減少用戶驗證時間。