Recientemente, la gente siempre me preguntan, CDN de alta seguridad en el apoyo final HTTPS, esta pregunta me preguntó directamente rascarse la cabeza - son 2024, todavía hay gente piensa que CDN de alta seguridad simplemente llevar DDoS hombre marrón?
He visto demasiados equipos en el proyecto antes del lanzamiento del fuego a toda prisa para encontrar una solución, la primera vez que oí hablar de CDN de alta defensa inmediatamente asociado con la “limpieza de tráfico”, “difícil de llevar el ataque”, pero ignoró por completo la parte fatal de la encriptación de la transmisión. ¿El resultado? Los ataques se evitan, pero los datos están desnudos, robados por el intermediario de un desnudo todavía tienen que asumir la culpa.
A decir verdad, ahora cualquier decente de alta defensa CDN proveedores de servicios, HTTPS ha sido durante mucho tiempo no “apoyo o no apoyo” problema, pero “cómo dejar que el uso más suave como la seda” problema. Incluso algunos proveedores como CDN5 y CDN07, han sido capaces de solicitar, desplegar y renovar automáticamente los certificados SSL, ni siquiera tienes que preocuparte por el aspecto del certificado.
Pero no creas que todos los proveedores están al mismo nivel. He probado siete u ocho, algunos dicen que el apoyo en la superficie, la configuración real puede hacer vomitar sangre tres litros: o bien el certificado se carga a tener efecto tan lento como un caracol, o la interfaz de configuración se oculta más profundo que un agujero negro, y algunos ni siquiera apoyan SNI, configuración multidominio directamente en la calle.
¿Por qué las CDN de alta seguridad deben soportar HTTPS? La razón es tan simple como un trago de agua: no puedes dejar tu casa abierta porque llevas un chaleco antibalas, ¿verdad? La protección DDoS es para prevenir impactos violentos externos, HTTPS es para prevenir la escucha y manipulación de datos, lo que no es en absoluto una relación alternativa, sino una combinación de oro.
Especialmente ahora Google Chrome tales navegadores, sitios HTTP durante mucho tiempo han sido marcados como “inseguro”. Usted trabaja duro con un CDN de alta defensa para llevar el ataque de tráfico 500G, los resultados del usuario para abrir el sitio para ver el navegador para informar de la caja roja, dar la vuelta e ir, esta ola de pérdida de sangre en el final, ¿quién es el responsable?
Llevo usando una CDN de alta defensa en mi entorno de producción desde 2017, y en los primeros días sí que tenía que ir lanzando certificados manualmente: comprarlos yo, pasarlos yo, estar pendiente de la renovación del tiempo de caducidad, era un coñazo. ¿Y ahora? Oh, la automatización se ha extendido hasta el punto de que incluso el clic de un botón se guarda - sólo tiene que coincidir con el registro CNAME en el paso de resolución DNS, y el certificado está automáticamente en su lugar.
Por ejemplo, CDN5, que el mes pasado para ayudar a los clientes a migrar la prueba real: añadir un nombre de dominio al marcar la opción “SSL automático”, directamente vinculado a Let's Encrypt, dentro de los 15 minutos para emitir automáticamente y desplegar certificados, pero también viene con HTTP / 2 y TLS 1.3 apoyo. ¿Puedes creerlo? Es una experiencia mucho más cómoda que frotar certificados a mano en Nginx mí mismo.
CDN07 soporta incluso certificados personalizados + modo híbrido de auto-renovación - si ya tiene un certificado de nivel empresarial (como DigiCert o Sectigo), puede cargar su propia clave privada y cadena de certificados, y al mismo tiempo activar la auto-renovación, para evitar la interrupción del negocio debido a la expiración del certificado. En realidad, este tipo de detalles sólo los entienden los veteranos que han pisado el tajo.
Pero no se crea el bombo publicitario de “totalmente automatizado e imbatible”. Las funciones SSL automáticas de algunos pequeños proveedores están a medio hacer, como no admitir certificados comodín, no admitir la resolución de inundaciones de nombres de dominio multinivel e incluso algunos ni siquiera envían los registros de Transparencia de certificados (CT), lo que provoca el rechazo de certificados en dispositivos iOS. El año pasado me metí en este pozo y me despertó en mitad de la noche un mensaje de texto de alarma, fue una pesadilla.
A nivel de configuración, la mayoría de las CDN de alta defensa ofrecen ahora dos modalidades: una es la de “certificados de borde” (alojados y gestionados automáticamente por el proveedor de la CDN), y la otra es la de “certificados personalizados” (que carga usted mismo). Recomiendo encarecidamente el uso de certificados de borde a menos que tenga estrictos requisitos de cumplimiento: es fácil, no requiere esfuerzo y es gratuito.
Por ejemplo, supongamos que utiliza la CDN de alta defensa de 08Host (esta resistencia a los ataques CC es fuerte), el proceso de configuración es probablemente largo como este:
Listo. Después, 30 días antes de que caduque el certificado, el sistema lo renovará automáticamente, y ni siquiera tendrás que leer el correo electrónico recordatorio.
Pero si tienes una cabeza de hierro y tienes que pasar el certificado tú mismo, no pasa nada. Pero ojo: la clave privada tiene que estar en formato PEM y debe contener la cadena completa del certificado. Mucha gente cae en este paso, pasando el certificado pero faltando la cadena intermedia, resultando en un error de certificado en el dispositivo Android.
El comando OpenSSL que suelo utilizar para generar la cadena completa:
A continuación, suba este fullchain.pem junto con la clave privada, firme como un perro viejo.
Otra operación de mal gusto es HSTS Preload. Si está utilizando proveedores CDN5 o CDN07 que soportan HSTS, es muy recomendable activarlo - obliga al navegador a conectarse a su dominio sólo a través de HTTPS, incluso se guarda el primer salto, eliminando por completo los ataques de SSL stripping. Sin embargo, este paso es un arma de doble filo, asegúrese de confirmar que todos los subdominios han sido habilitados para HTTPS antes de la configuración, o directamente bloquee el acceso.
En cuanto al rendimiento, sé que a mucha gente le preocupa que el cifrado y descifrado TLS aumente la latencia. Pero para ser honesto, los nodos de borde de la corriente principal de alta defensa CDN son ahora tarjetas de aceleración SSL de hardware, que poco de sobrecarga es casi insignificante. He probado un proyecto de comercio electrónico, el aumento de latencia de menos de 3 ms después de la apertura de HTTPS, pero la mejora de la seguridad es exponencial.
Incluso algunos proveedores como 08Host, pero también hizo el billete de sesión TLS (billete de sesión) multiplexación, el mismo usuario un corto período de tiempo para repetir la conexión no requiere un apretón de manos completo, multiplexación directa de la clave de caché, más rápido que HTTP (después de todo, HTTP / 2 multiplexación es también fragante ah).
Por último, me gustaría decir: en estos días, incluso CDNs tienen que “evitar que los compañeros de equipo”. Algunos pequeños vendedores bajo la bandera de CDN de alta defensa, de hecho, la clave privada SSL en realidad existe en el servidor central, los nodos de borde tienen que volver a la fuente de cada descifrado para tirar de la clave - esto no es para quitarse los pantalones pedo? Si realmente quieres hacer esto, por no hablar de la explosión de retardo, el riesgo de fuga de claves directamente al cielo.
Así que cuando elijas un proveedor, asegúrate de preguntar por su mecanismo de gestión de claves SSL. Una solución fiable es almacenar la clave privada localmente en el nodo de borde y cifrarla en memoria, o incluso soportar la rotación de claves (Key Rotation) como CDN07, que cambia automáticamente la clave privada una vez al trimestre, para evitar topos e infiltraciones.
En resumen (tsk, no puedo evitar decir la palabra resumen de nuevo), CDN de alta defensa y HTTPS ha sido durante mucho tiempo el estándar de la norma. Lo que necesitas no es la respuesta de “soporte o no”, sino la experiencia de “cómo elegir no pisar el foso”. Certificados automáticos pueden salvar el corazón, pero el núcleo es ver la implementación subyacente del proveedor - de lo contrario la superficie es brillante, detrás de todas las minas.
La próxima vez que le preguntó de alta seguridad CDN apoyo o no apoyo HTTPS, directamente a este artículo volcado a él: no sólo el apoyo, sino también para jugar a las flores.
