في الآونة الأخيرة ، يسألني الناس دائمًا ، CDN عالية الأمان في النهاية تدعم HTTPS ، سألني هذا السؤال مباشرة خدش رأسي - هل 2024 ، لا يزال هناك أشخاص يعتقدون أن CDN عالية الأمان تحمل ببساطة رجل DDoS البني؟
لقد رأيت الكثير من الفرق في المشروع قبل إطلاق النار في عجلة من أمرها لإيجاد حل، في المرة الأولى التي سمعت فيها عن شبكة CDN عالية الدفاع ارتبطت على الفور بـ “تنظيف حركة المرور”، “من الصعب حمل الهجوم”، ولكن تجاهلت تمامًا الجزء القاتل من تشفير الإرسال. والنتيجة؟ تم منع الهجمات، لكن البيانات عارية، لا يزال يتعين على الوسيط العاري أن يتحمل اللوم.
لأقول لك الحقيقة، الآن أي مزودي خدمة CDN عالية الدفاع، لم تكن مشكلة HTTPS منذ فترة طويلة مشكلة “دعم أو عدم دعم”، ولكن مشكلة “كيفية السماح لك باستخدام أكثر سلاسة”. حتى أن بعض البائعين مثل CDN5 و CDN07، تمكنوا من التقدم بطلب للحصول على شهادات SSL ونشرها وتجديدها تلقائيًا، ولا داعي لأن تهتم حتى بشكل الشهادة.
ولكن لا تعتقد أن جميع البائعين على نفس المستوى. لقد اختبرت سبعة أو ثمانية، بعضها يقول الدعم ظاهرياً، والتكوين الفعلي يمكن أن يجعلك تتقيأ دماً ثلاث لترات: إما أن الشهادة يتم تحميلها لتصبح سارية المفعول ببطء كالحلزون، أو أن واجهة التكوين مخفية أعمق من ثقب أسود، وبعضها لا يدعم حتى SNI، والتكوين متعدد النطاقات مباشرة في الشارع.
لماذا يجب أن تدعم شبكات CDN عالية الأمان HTTPS؟ السبب بسيط مثل شربة الماء - لا يمكنك ترك منزلك مفتوحًا لأنك ترتدي سترة واقية من الرصاص، أليس كذلك؟ الحماية من DDoS لمنع التأثيرات العنيفة الخارجية، HTTPS لمنع التنصت على البيانات والتلاعب بها، وهي ليست علاقة بديلة على الإطلاق، بل مزيج ذهبي.
خاصة الآن جوجل كروم مثل هذه المتصفحات، لطالما تم تمييز مواقع HTTP على أنها “غير آمنة”. أنت تعمل بجد مع شبكة CDN عالية الدفاع لتحمل هجوم حركة المرور 500G، نتائج المستخدم لفتح الموقع لرؤية المتصفح للإبلاغ عن المربع الأحمر، واستدر واذهب، هذه الموجة من فقدان الدم في النهاية، من المسؤول عن؟
لقد كنت أستخدم شبكة CDN عالية الدفاع في بيئة الإنتاج الخاصة بي منذ عام 2017، وفي الأيام الأولى اضطررت إلى توزيع الشهادات يدويًا: شرائها بنفسي، وتمريرها بنفسي، ومراقبة تجديد وقت انتهاء الصلاحية، كان الأمر مزعجًا للغاية. لكن الآن؟ لقد تم رفع مستوى الأتمتة إلى درجة أنه حتى بنقرة زر واحدة يتم حفظها - ما عليك سوى مطابقة سجل CNAME في خطوة حل DNS، ويتم وضع الشهادة تلقائيًا في مكانها.
على سبيل المثال، CDN5، لقد قمت الشهر الماضي بمساعدة العملاء في الشهر الماضي على ترحيل الاختبار الحقيقي: إضافة اسم نطاق عند تحديد “SSL التلقائي”، فهو مرتبط مباشرة بـ Let's Encrypt، في غضون 15 دقيقة لإصدار الشهادات ونشرها تلقائيًا، ولكنه يأتي أيضًا مع دعم HTTP / 2 و TLS 1.3. هل تصدق ذلك؟ إنها تجربة أكثر راحة من فرك الشهادات يدوياً على Nginx بنفسي.
حتى أن CDN07 يدعم الشهادات المخصصة + الوضع المختلط للتجديد التلقائي - إذا كان لديك بالفعل شهادة على مستوى المؤسسة (مثل DigiCert أو Sectigo)، يمكنك تحميل مفتاحك الخاص وسلسلة الشهادات الخاصة بك، وفي نفس الوقت تشغيل التجديد التلقائي، لتجنب انقطاع العمل بسبب انتهاء صلاحية الشهادة. هذا النوع من التفاصيل لا يفهمه حقًا إلا المخضرمون الذين دخلوا في الحفر.
ولكن لا تصدق الضجة التسويقية التي تقول “مؤتمتة بالكامل ولا تقبل المنافسة”. فبعض ميزات SSL التلقائية لبعض البائعين الصغار غير مكتملة، مثل عدم دعم شهادات أحرف البدل، وعدم دعم حل فيضان أسماء النطاقات متعددة المستويات، وحتى أن البعض لا يقدم حتى سجلات شفافية الشهادة، مما يؤدي إلى رفض الشهادات على أجهزة iOS. لقد وقعت في هذه الحفرة العام الماضي واستيقظت في منتصف الليل برسالة نصية منبهة، لقد كان كابوسًا.
على مستوى التكوين، تقدم معظم شبكات CDN عالية الدفاع الآن وضعين: أحدهما “شهادات الحافة” (يستضيفها ويديرها تلقائيًا مورد شبكة CDN)، والآخر هو “الشهادات المخصصة” (التي ترفعها بنفسك). أوصي بشدة باستخدام شهادات الحافة ما لم تكن لديك متطلبات امتثال صارمة - إنها سهلة وبسيطة ومجانية.
على سبيل المثال، لنفترض أنك تستخدم شبكة CDN عالية الدفاع لـ 08Host (مقاومة هجوم CC قوية)، ربما تكون عملية التهيئة طويلة على هذا النحو:
تم. بعد ذلك، قبل 30 يومًا من انتهاء صلاحية الشهادة، سيقوم النظام بتجديدها تلقائيًا، ولن تضطر حتى إلى قراءة رسالة التذكير عبر البريد الإلكتروني.
ولكن إذا كان لديك رأس حديدي وعليك تمرير الشهادة بنفسك، فلا بأس بذلك. لكن لاحظ: يجب أن يكون المفتاح الخاص بتنسيق PEM ويجب أن يحتوي على سلسلة الشهادة الكاملة. يقع العديد من الأشخاص في هذه الخطوة، حيث يمررون الشهادة ولكن ينقصهم السلسلة الوسيطة، مما يؤدي إلى حدوث خطأ في الشهادة على جهاز Android.
أمر OpenSSL الذي أستخدمه عادةً لإنشاء السلسلة الكاملة:
ثم قم بتحميل هذا fullchain.pem مع المفتاح الخاص بثبات كالكلب العجوز.
عملية رديئة أخرى هي التحميل المسبق لـ HSTS. إذا كنت تستخدم بائعي CDN5 أو CDN07 الذين يدعمون HSTS، فمن المستحسن بشدة تشغيله - فهو يجبر المتصفح على الاتصال بنطاقك فقط عبر HTTPS، حتى يتم حفظ القفزة الأولى، مما يقضي تمامًا على هجمات تجريد SSL. ومع ذلك، فإن هذه الخطوة سلاح ذو حدين، تأكد من التأكد من أن جميع النطاقات الفرعية قد تم تمكين HTTPS قبل التهيئة، أو قفل الوصول مباشرة.
من ناحية الأداء، أعلم أن الكثير من الناس قلقون من أن تشفير وفك تشفير TLS سيزيد من زمن الاستجابة. ولكن لكي أكون صادقًا، فإن العقد الطرفية لشبكات CDN عالية الدفاع السائدة الآن هي بطاقات تسريع SSL للأجهزة، وهذا الحمل الزائد القليل يكاد لا يُذكر. لقد اختبرت مشروعًا للتجارة الإلكترونية، وكان زمن الاستجابة أقل من 3 مللي ثانية بعد فتح HTTPS، ولكن التحسينات الأمنية هائلة.
حتى بعض البائعين مثل 08Host، ولكن أيضًا تعدد إرسال تذكرة جلسة TLS (تذكرة الجلسة)، نفس المستخدم فترة زمنية قصيرة لتكرار الاتصال لا يتطلب مصافحة كاملة، وتعدد إرسال مباشر لمفتاح ذاكرة التخزين المؤقت، أسرع من HTTP (بعد كل شيء، تعدد إرسال HTTP/2 هو أيضًا عطر آه).
أخيرًا، أود أن أقول: في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق”. بعض البائعين الصغار تحت راية شبكات CDN عالية الدفاع، في الواقع، مفتاح SSL الخاص موجود بالفعل على الخادم المركزي، يجب أن تعود العقد الطرفية إلى مصدر كل فك تشفير لسحب المفتاح - هذا ليس لخلع بنطلونهم ضرطة؟ إذا كنت تريد حقًا القيام بذلك، ناهيك عن انفجار التأخير، وخطر تسرب المفتاح مباشرة إلى السماء.
لذلك عند اختيار البائع، تأكد من السؤال عن آلية إدارة مفاتيح SSL الخاصة بهم. الحل الموثوق به هو تخزين المفتاح الخاص محليًا في العقدة الطرفية وتشفيره في الذاكرة، أو حتى دعم تدوير المفتاح (Key Rotation) مثل CDN07، الذي يغير المفتاح الخاص تلقائيًا مرة كل ثلاثة أشهر، لمنع الاختراق والتسلل.
باختصار (tsk، لا يسعني إلا أن أقول كلمة الملخص مرة أخرى)، لطالما كانت شبكة CDN عالية الدفاع و HTTPS هي المعيار القياسي. ما تحتاجه ليس إجابة “الدعم أو عدمه”، ولكن تجربة “كيفية اختيار عدم الوقوع في الحفرة”. يمكن للشهادات التلقائية أن تنقذ القلب، ولكن الأساس هو رؤية التطبيق الأساسي للبائع - وإلا فإن السطح ساطع خلف كل الألغام.
في المرة القادمة من طلب منك دعم CDN عالي الأمان أو عدم دعم HTTPS، مباشرة إلى هذه المقالة الملقاة له: ليس فقط الدعم، ولكن أيضًا لتشغيل الزهور.
