Recientemente para ayudar a los amigos a lidiar con el servidor fue DDoS cosa, encontró un problema bastante fatal - mucha gente pensaba en la CDN de alta defensa en todo está bien, los resultados del certificado SSL no entendía, el tráfico no fue al nodo de alta defensa fue perforado. En estos días, incluso el CDN tiene que “evitar que los compañeros de equipo”, los detalles de configuración realmente puede matar a la gente.
He visto la situación más escandalosa es una estación de comercio electrónico con un top soluciones de alta seguridad, pero debido a la falta de cadena de certificados, los usuarios de Apple todos los pop advertencia de seguridad, la pérdida del día 23% iOS órdenes. certificados ssl esta cosa es igual que el cilindro de la cerradura de la puerta de seguridad de su casa, se ve discreto, realmente fuera de la cuestión cuando se puede salvar su vida.
¿Por qué es más importante prestar atención a los certificados en entornos de alta defensa?En los despliegues tradicionales de un solo servidor, el uso indebido de certificados puede revertirse rápidamente. Sin embargo, en la arquitectura CDN, la actualización de certificados implica la sincronización global de los nodos periféricos, lo que puede provocar la interrupción del acceso global en caso de configuración errónea. Especialmente en servicios de programación inteligente como CDN5, el estado del certificado afecta directamente a la estrategia de asignación de tráfico.
La prueba encontró tres fallos de alta frecuencia: en primer lugar, la cadena del certificado está incompleta, lo que resulta en un fallo de confianza del dispositivo Android, en segundo lugar, el error de formato de clave desencadenó la caída del nodo de borde Nginx, y en tercer lugar, el certificado expiró después de que el proveedor de servicios CDN se degradara automáticamente a HTTP (08Host ha hecho esto). No me preguntes cómo lo sé, es toda una lección de sangre y lágrimas.
Empecemos por cómo conseguir certificados gratuitos.Let's Encrypt es ahora un estándar de la industria, pero mucha gente no se da cuenta de que su protocolo ACME ya admite certificados comodín. Yo suelo usar el esquema acme.sh, que es más ligero que certbot:
Tenga en cuenta que aquí se utiliza la autenticación DNS en lugar de la autenticación HTTP habitual. Dado que las CDN de alta defensa suelen ocultar la IP de origen, la autenticación HTTP suele fallar por timeout. Necesidad de ir a la parte del proveedor de resolución de nombres de dominio para configurar los registros TXT, aunque un paso más para operar, pero la tasa de éxito de 100%.
No se apresure a desplegar después de la solicitud de certificado tiene éxito, comprobar la integridad de la cadena en primer lugar. Una vez fui bastante lanzado - obviamente el acceso del navegador es normal, pero el cliente Java todos los errores reportados. Más tarde se encontró que falta el certificado intermedio:
La cadena completa debe contener tres partes: el certificado de dominio, el certificado intermedio Let's Encrypt R3 y el certificado raíz ISRG. La consola de CDN07 creará automáticamente la cadena completa, pero CDN5 debe cargar el archivo de cadena completa manualmente.
Pasemos ahora al segmento del despliegue focalizado.Las operaciones varían mucho de un proveedor de CDN a otro:
La consola de 08Host es la más antihumana, de hecho pide fusionar la clave privada y el certificado en un archivo pem:
El formato incorrecto conduce directamente al nodo nacional 502, el teléfono de atención al cliente puede romperse. Se recomienda verificar la configuración con un dominio de prueba en primer lugar, y luego cortar el nombre de dominio principal después de 10 minutos de observación a escala de grises.
La interfaz API de CDN5 está bastante bien hecha para la gestión con scripts automatizados. Aquí está la parte central del script de renovación de certificados que escribí en Python:
No crea en algunos tutoriales que dicen “basta con poner la fecha de caducidad del certificado en renovación automática”. El mecanismo de caché de la CDN de alta defensa puede provocar que la renovación real del certificado se retrase hasta 4 horas. Lo mejor es establecer un recordatorio en el calendario con 30 días de antelación, yo solía hacer tres operaciones de renovación 15 días, 7 días y 3 días antes de la fecha de caducidad.
Hablando de automatización, acme.sh realmente viene con integración CDN. Soporta plataformas comunes como Aliyun, Tencent Cloud, Cloudflare, etc., pero los proveedores de servicios de alta defensa necesitan escribir sus propios scripts hook. Merece la pena consultar este caso de despliegue a CDN07:
Presta atención a la seguridad de las claves al automatizar los despliegues. En una ocasión, una empresa codificó la clave de la API en un script y lo subió a GitHub, lo que provocó que una banda de chantajistas robara el certificado para emitir un nombre de dominio malicioso. Se recomienda utilizar un esquema de clave dinámica que actualice automáticamente el token de acceso a la API cada 24 horas.
Unas palabras finales sobre la selección del tipo de certificado. Mientras que los certificados gratuitos son fragantes, los de pago se recomiendan para escenarios de nivel empresarial. No es el dinero lo que quema, sino porque los certificados OV (Organisation Validation) y EV (Extended Validation) tienen mejor compatibilidad con el Trusted Root Certificate Store. Algunas agencias gubernamentales o aplicaciones bancarias incluso exigen certificados EV o se niegan a conectarse.
El problema más extraño que me he encontrado: un cliente utilizaba certificados GeoTrust, pero siempre informaba de un error de confianza en Sudáfrica. Más tarde, la captura de paquetes descubrió que el operador local secuestraba el proceso de handshake SSL. La solución fue forzar la activación de “HSTS” en la configuración de la CDN y precargarlo en el núcleo del navegador:
Mirando ahora hacia atrás, la configuración de certificados SSL es en realidad un oficio de expertos. Pero cada eslabón puede esconder un pozo profundo, desde el formato del certificado, la integridad de la cadena, la sincronización del despliegue hasta la depuración de la compatibilidad, donde el error puede hacer que te despiertes en mitad de la noche. Se recomienda elaborar una lista de comprobación y marcar cada punto cada vez que se opera:
Una vez me llamaron a las tres de la mañana para solucionar un fallo de certificado, y descubrí que el nodo de borde de la CDN almacenaba en caché el certificado caducado. Más tarde, me acostumbré a borrar siempre la caché de la CDN después de actualizar el certificado:
Para ser sincero, las soluciones de automatización de certificados ya están bien establecidas, pero yo sigo insistiendo en revisar manualmente los pasos clave. Las máquinas ahorran tiempo, pero la gente piensa en las excepciones. Al fin y al cabo, cuando las cosas van mal, el jefe no quiere oír: “Es culpa del script de automatización”.
Recientemente encontró CDN5 lanzó un servicio de alojamiento de certificados, puede ser renovado automáticamente y desplegado, la velocidad de respuesta medida que 08Host mucho más rápido. Pero la operación de la vieja escuela y el mantenimiento como yo, o más confianza en sí mismos para controlar todo el proceso. Tal vez esta es la terquedad de los técnicos de mediana edad - prefiere escribir 200 líneas de script, pero también no quieren dar la puerta a los demás.
Espero que estas experiencias le ayuden a sentirse menos frustrado. Recuerda, no existe el noventa y nueve por ciento de seguridad, sólo el cero y el cien. Un trabajo básico como la configuración de certificados merece la actitud más paranoica que puedas reunir.
