في الآونة الأخيرة لمساعدة الأصدقاء في التعامل مع الخادم كان شيء DDoS، وجدت مشكلة قاتلة للغاية - اعتقد الكثير من الناس على CDN الدفاعية العالية على كل شيء على ما يرام، لم تفهم نتائج شهادة SSL، لم يتم اختراق حركة المرور إلى عقدة الدفاع العالية. في هذه الأيام، حتى CDN يجب على CDN “منع زملاء الفريق”، تفاصيل التكوين يمكن أن تقتل الناس حقًا.
لقد رأيت الوضع الأكثر فظاعة هو محطة التجارة الإلكترونية مع أعلى الحلول الأمنية العالية، ولكن بسبب عدم وجود سلسلة شهادات، فإن مستخدمي Apple جميعهم يطفو على السطح تحذير أمني، وفقدان اليوم 23% iOS أوامر ssl هذا الشيء يشبه تمامًا أسطوانة قفل باب أمان منزلك، يبدو غير واضح، حقًا غير وارد عندما يمكنك إنقاذ حياتك.
ما هي أهمية الاهتمام بالشهادات في بيئات الدفاع العالي؟في عمليات النشر التقليدية ذات الخادم الواحد، لا يزال من الممكن التراجع عن إساءة استخدام الشهادة بسرعة. ومع ذلك، في بنية شبكة CDN، يتضمن تحديث الشهادة مزامنة عالمية للعقد الطرفية، مما قد يؤدي إلى تعطل الوصول العالمي في حالة سوء التهيئة. خاصة بالنسبة لخدمات الجدولة الذكية مثل CDN5، تؤثر حالة الشهادة بشكل مباشر على استراتيجية تخصيص حركة المرور.
وجد الاختبار ثلاثة عيوب عالية التردد: أولاً، سلسلة الشهادات غير مكتملة، مما أدى إلى فشل الثقة في جهاز أندرويد، وثانياً، أدى خطأ في تنسيق المفتاح إلى تعطل عقدة حافة Nginx، وثالثاً، انتهت صلاحية الشهادة بعد أن قام مزود خدمة CDN بتخفيض مستوى الخدمة تلقائياً إلى HTTP (08Host قام بذلك). لا تسألني كيف عرفت ذلك، فهذا كله درس في الدم والدموع.
دعونا نبدأ بكيفية الحصول على شهادات مجانية، لقد أصبح Let's Encrypt الآن معيارًا في هذا المجال، لكن الكثير من الناس لا يدركون أن بروتوكول ACME الخاص بهم يدعم بالفعل شهادات البدل. أنا معتاد على استخدام نظام acme.sh، وهو أخف من certbot:
لاحظ أنه يتم استخدام مصادقة DNS هنا بدلاً من مصادقة HTTP الشائعة. نظرًا لأن شبكات CDN عالية الدفاع عادةً ما تخفي عادةً عنوان IP المصدر، غالبًا ما تفشل مصادقة HTTP في إنهاء المهلة. تحتاج إلى الانتقال إلى جانب موفر حل أسماء النطاقات لتكوين سجلات TXT، على الرغم من أن هناك خطوة أخرى للعمل، ولكن معدل نجاح 100%.
لا تتسرع في النشر بعد نجاح تطبيق الشهادة، تحقق من سلامة السلسلة أولاً. لقد تم عرضي مرة واحدة بما فيه الكفاية - من الواضح أن الوصول إلى المتصفح طبيعي، لكن عميل جافا أبلغ عن أخطاء. وجدت لاحقًا أن الشهادة الوسيطة مفقودة:
يجب أن تحتوي السلسلة الكاملة على ثلاثة أجزاء: شهادة المجال، وشهادة Let's Encrypt R3 الوسيطة، وشهادة ISRG Root.ستعمل وحدة تحكم CDN07 تلقائيًا على تكوين السلسلة الكاملة تلقائيًا، ولكن CDN5 تحتاج إلى تحميل ملف السلسلة الكاملة يدويًا.
والآن إلى جزء النشر المركّز.تختلف العمليات بشكل كبير من مزود شبكة CDN إلى آخر:
08Host وحدة تحكم 08Host هي الأكثر معاداة للبشرية، حيث تطلب بالفعل دمج المفتاح الخاص والشهادة في ملف pem واحد:
يؤدي التنسيق الخاطئ مباشرة إلى العقدة الوطنية 502، يمكن أن يتعطل هاتف خدمة العملاء. يوصى بالتحقق من التكوين باستخدام نطاق اختبار أولاً، ثم قطع اسم النطاق الرئيسي بعد 10 دقائق من المراقبة على النطاق الرمادي.
واجهة واجهة CDN5 API الخاصة بـ CDN5 مصممة بشكل جيد إلى حد ما للإدارة باستخدام البرامج النصية الآلية. إليك الجزء الأساسي من البرنامج النصي لتجديد الشهادة الذي كتبته بلغة Python:
لا تصدق بعض البرامج التعليمية التي تقول “فقط اضبط تاريخ انتهاء صلاحية الشهادة على التجديد التلقائي”. قد تتسبب آلية التخزين المؤقت لشبكة CDN عالية الدفاع في تأخير التجديد الفعلي للشهادة حتى 4 ساعات. من الأفضل تعيين تذكير تقويمي قبل 30 يومًا من تاريخ انتهاء الصلاحية، فقد اعتدتُ القيام بثلاث عمليات تجديد قبل 15 يومًا و7 أيام و3 أيام من تاريخ انتهاء الصلاحية.
بالحديث عن الأتمتة، يأتي acme.sh بالفعل مع تكامل CDN. وهو يدعم المنصات الشائعة مثل Aliyun و Tencent Cloud و Cloudflare وما إلى ذلك، لكن مزودي خدمة الدفاع العالي يحتاجون إلى كتابة نصوصهم البرمجية الخاصة بهم. هذه الحالة من النشر على CDN07 تستحق الرجوع إليها:
انتبه إلى أمان المفاتيح عند أتمتة عمليات النشر. في إحدى المرات قامت إحدى الشركات بترميز مفتاح واجهة برمجة التطبيقات في برنامج نصي وتحميله إلى GitHub، مما أدى إلى سرقة الشهادة من قبل عصابة ابتزاز لإصدار اسم نطاق خبيث. يوصى باستخدام مخطط مفتاح ديناميكي يقوم تلقائيًا بتحديث رمز الوصول إلى واجهة برمجة التطبيقات كل 24 ساعة.
كلمة أخيرة حول اختيار نوع الشهادة. على الرغم من أن الشهادات المجانية عطرة، إلا أنه يوصى بالشهادات المدفوعة للسيناريوهات على مستوى المؤسسة. فالأمر لا يتعلق بالمال، ولكن لأن شهادات OV (التحقق من صحة المؤسسة) وشهادات EV (التحقق الموسع) تتمتع بتوافق أفضل مع مخزن الشهادات الجذر الموثوق به. حتى أن بعض الوكالات الحكومية أو التطبيقات المصرفية تفرض شهادات EV أو ترفض الاتصال.
أغرب مشكلة واجهتها على الإطلاق: كان أحد العملاء يستخدم شهادات GeoTrust، ولكنه كان يبلغ دائمًا عن خطأ في الثقة في جنوب إفريقيا. في وقت لاحق، وجد التقاط الحزمة أن المشغل المحلي اختطف عملية مصافحة SSL. كان الحل هو فرض تمكين “HSTS” في تكوين شبكة CDN وتحميلها مسبقًا في نواة المتصفح:
بالنظر إلى الوراء الآن، فإن تكوين شهادة SSL هو في الواقع حرفة ماهرة. لكن كل رابط قد يخفي حفرة عميقة، بدءاً من تنسيق الشهادة وتكامل السلسلة ومزامنة النشر إلى تصحيح أخطاء التوافق، حيث يمكن أن يجعلك الخطأ تستيقظ في منتصف الليل. يوصى بإنشاء قائمة مراجعة ووضع علامة على كل عنصر في كل مرة تعمل فيها:
ذات مرة تم استدعائي في الساعة الثالثة صباحًا للتعامل مع فشل في الشهادة، ووجدت أن عقدة حافة CDN قامت بتخزين الشهادة منتهية الصلاحية مؤقتًا. لاحقًا، اعتدتُ على مسح ذاكرة التخزين المؤقت لشبكة CDN دائمًا بعد تحديث الشهادة:
بصراحة، أصبحت حلول أتمتة الشهادات راسخة الآن، لكنني ما زلت أصر على مراجعة الخطوات الرئيسية يدويًا. توفر الآلات الوقت، ولكن الناس يفكرون في الاستثناءات. ففي نهاية المطاف، عندما تسوء الأمور، لا يريد المدير أن يسمع عبارة “إنه خطأ البرنامج النصي للأتمتة”.
وجدت مؤخرًا أن CDN5 أطلقت خدمة استضافة الشهادات، ويمكن تجديدها ونشرها تلقائيًا، وقياس سرعة الاستجابة من 08Host أسرع بكثير. لكن تشغيل وصيانة المدرسة القديمة مثلي، أو أكثر ثقة بأنفسهم للتحكم في العملية برمتها. ربما يكون هذا هو عناد الأشخاص التقنيين في منتصف العمر - يفضلون كتابة 200 سطر من البرامج النصية، ولكنهم أيضًا لا يريدون أن يتركوا الباب للآخرين.
آمل أن تساعدك هذه التجارب على أن تكون أقل إحباطاً. تذكر، لا يوجد أمان بنسبة تسعة وتسعين في المائة، فقط صفر ومائة. العمل الأساسي مثل تهيئة الشهادات يستحق أكثر ما يمكنك حشده من الشكوك.
