Recientemente, la gente siempre me preguntan, CDN de alta seguridad en el apoyo final HTTPS, esta pregunta me pregunt\u00f3 directamente rascarse la cabeza - son 2024, todav\u00eda hay gente piensa que CDN de alta seguridad simplemente llevar DDoS hombre marr\u00f3n?<\/p>\n
He visto demasiados equipos en el proyecto antes del lanzamiento del fuego a toda prisa para encontrar una soluci\u00f3n, la primera vez que o\u00ed hablar de CDN de alta defensa inmediatamente asociado con la \u201climpieza de tr\u00e1fico\u201d, \u201cdif\u00edcil de llevar el ataque\u201d, pero ignor\u00f3 por completo la parte fatal de la encriptaci\u00f3n de la transmisi\u00f3n. \u00bfEl resultado? Los ataques se evitan, pero los datos est\u00e1n desnudos, robados por el intermediario de un desnudo todav\u00eda tienen que asumir la culpa.<\/p>\n
A decir verdad, ahora cualquier decente de alta defensa CDN proveedores de servicios, HTTPS ha sido durante mucho tiempo no \u201capoyo o no apoyo\u201d problema, pero \u201cc\u00f3mo dejar que el uso m\u00e1s suave como la seda\u201d problema. Incluso algunos proveedores como CDN5 y CDN07, han sido capaces de solicitar, desplegar y renovar autom\u00e1ticamente los certificados SSL, ni siquiera tienes que preocuparte por el aspecto del certificado.<\/p>\n
Pero no creas que todos los proveedores est\u00e1n al mismo nivel. He probado siete u ocho, algunos dicen que el apoyo en la superficie, la configuraci\u00f3n real puede hacer vomitar sangre tres litros: o bien el certificado se carga a tener efecto tan lento como un caracol, o la interfaz de configuraci\u00f3n se oculta m\u00e1s profundo que un agujero negro, y algunos ni siquiera apoyan SNI, configuraci\u00f3n multidominio directamente en la calle.<\/p>\n
\u00bfPor qu\u00e9 las CDN de alta seguridad deben soportar HTTPS? La raz\u00f3n es tan simple como un trago de agua: no puedes dejar tu casa abierta porque llevas un chaleco antibalas, \u00bfverdad? La protecci\u00f3n DDoS es para prevenir impactos violentos externos, HTTPS es para prevenir la escucha y manipulaci\u00f3n de datos, lo que no es en absoluto una relaci\u00f3n alternativa, sino una combinaci\u00f3n de oro.<\/p>\n
Especialmente ahora Google Chrome tales navegadores, sitios HTTP durante mucho tiempo han sido marcados como \u201cinseguro\u201d. Usted trabaja duro con un CDN de alta defensa para llevar el ataque de tr\u00e1fico 500G, los resultados del usuario para abrir el sitio para ver el navegador para informar de la caja roja, dar la vuelta e ir, esta ola de p\u00e9rdida de sangre en el final, \u00bfqui\u00e9n es el responsable?<\/p>\n
Llevo usando una CDN de alta defensa en mi entorno de producci\u00f3n desde 2017, y en los primeros d\u00edas s\u00ed que ten\u00eda que ir lanzando certificados manualmente: comprarlos yo, pasarlos yo, estar pendiente de la renovaci\u00f3n del tiempo de caducidad, era un co\u00f1azo. \u00bfY ahora? Oh, la automatizaci\u00f3n se ha extendido hasta el punto de que incluso el clic de un bot\u00f3n se guarda - s\u00f3lo tiene que coincidir con el registro CNAME en el paso de resoluci\u00f3n DNS, y el certificado est\u00e1 autom\u00e1ticamente en su lugar.<\/p>\n
Por ejemplo, CDN5, que el mes pasado para ayudar a los clientes a migrar la prueba real: a\u00f1adir un nombre de dominio al marcar la opci\u00f3n \u201cSSL autom\u00e1tico\u201d, directamente vinculado a Let's Encrypt, dentro de los 15 minutos para emitir autom\u00e1ticamente y desplegar certificados, pero tambi\u00e9n viene con HTTP \/ 2 y TLS 1.3 apoyo. \u00bfPuedes creerlo? Es una experiencia mucho m\u00e1s c\u00f3moda que frotar certificados a mano en Nginx m\u00ed mismo.<\/p>\n
CDN07 soporta incluso certificados personalizados + modo h\u00edbrido de auto-renovaci\u00f3n - si ya tiene un certificado de nivel empresarial (como DigiCert o Sectigo), puede cargar su propia clave privada y cadena de certificados, y al mismo tiempo activar la auto-renovaci\u00f3n, para evitar la interrupci\u00f3n del negocio debido a la expiraci\u00f3n del certificado. En realidad, este tipo de detalles s\u00f3lo los entienden los veteranos que han pisado el tajo.<\/p>\n
Pero no se crea el bombo publicitario de \u201ctotalmente automatizado e imbatible\u201d. Las funciones SSL autom\u00e1ticas de algunos peque\u00f1os proveedores est\u00e1n a medio hacer, como no admitir certificados comod\u00edn, no admitir la resoluci\u00f3n de inundaciones de nombres de dominio multinivel e incluso algunos ni siquiera env\u00edan los registros de Transparencia de certificados (CT), lo que provoca el rechazo de certificados en dispositivos iOS. El a\u00f1o pasado me met\u00ed en este pozo y me despert\u00f3 en mitad de la noche un mensaje de texto de alarma, fue una pesadilla.<\/p>\n
A nivel de configuraci\u00f3n, la mayor\u00eda de las CDN de alta defensa ofrecen ahora dos modalidades: una es la de \u201ccertificados de borde\u201d (alojados y gestionados autom\u00e1ticamente por el proveedor de la CDN), y la otra es la de \u201ccertificados personalizados\u201d (que carga usted mismo). Recomiendo encarecidamente el uso de certificados de borde a menos que tenga estrictos requisitos de cumplimiento: es f\u00e1cil, no requiere esfuerzo y es gratuito.<\/p>\n
Por ejemplo, supongamos que utiliza la CDN de alta defensa de 08Host (esta resistencia a los ataques CC es fuerte), el proceso de configuraci\u00f3n es probablemente largo como este:<\/p>\n
Listo. Despu\u00e9s, 30 d\u00edas antes de que caduque el certificado, el sistema lo renovar\u00e1 autom\u00e1ticamente, y ni siquiera tendr\u00e1s que leer el correo electr\u00f3nico recordatorio.<\/p>\n
Pero si tienes una cabeza de hierro y tienes que pasar el certificado t\u00fa mismo, no pasa nada. Pero ojo: la clave privada tiene que estar en formato PEM y debe contener la cadena completa del certificado. Mucha gente cae en este paso, pasando el certificado pero faltando la cadena intermedia, resultando en un error de certificado en el dispositivo Android.<\/p>\n
El comando OpenSSL que suelo utilizar para generar la cadena completa:<\/p>\n
A continuaci\u00f3n, suba este fullchain.pem junto con la clave privada, firme como un perro viejo.<\/p>\n
Otra operaci\u00f3n de mal gusto es HSTS Preload. Si est\u00e1 utilizando proveedores CDN5 o CDN07 que soportan HSTS, es muy recomendable activarlo - obliga al navegador a conectarse a su dominio s\u00f3lo a trav\u00e9s de HTTPS, incluso se guarda el primer salto, eliminando por completo los ataques de SSL stripping. Sin embargo, este paso es un arma de doble filo, aseg\u00farese de confirmar que todos los subdominios han sido habilitados para HTTPS antes de la configuraci\u00f3n, o directamente bloquee el acceso.<\/p>\n
En cuanto al rendimiento, s\u00e9 que a mucha gente le preocupa que el cifrado y descifrado TLS aumente la latencia. Pero para ser honesto, los nodos de borde de la corriente principal de alta defensa CDN son ahora tarjetas de aceleraci\u00f3n SSL de hardware, que poco de sobrecarga es casi insignificante. He probado un proyecto de comercio electr\u00f3nico, el aumento de latencia de menos de 3 ms despu\u00e9s de la apertura de HTTPS, pero la mejora de la seguridad es exponencial.<\/p>\n
Incluso algunos proveedores como 08Host, pero tambi\u00e9n hizo el billete de sesi\u00f3n TLS (billete de sesi\u00f3n) multiplexaci\u00f3n, el mismo usuario un corto per\u00edodo de tiempo para repetir la conexi\u00f3n no requiere un apret\u00f3n de manos completo, multiplexaci\u00f3n directa de la clave de cach\u00e9, m\u00e1s r\u00e1pido que HTTP (despu\u00e9s de todo, HTTP \/ 2 multiplexaci\u00f3n es tambi\u00e9n fragante ah).<\/p>\n
Por \u00faltimo, me gustar\u00eda decir: en estos d\u00edas, incluso CDNs tienen que \u201cevitar que los compa\u00f1eros de equipo\u201d. Algunos peque\u00f1os vendedores bajo la bandera de CDN de alta defensa, de hecho, la clave privada SSL en realidad existe en el servidor central, los nodos de borde tienen que volver a la fuente de cada descifrado para tirar de la clave - esto no es para quitarse los pantalones pedo? Si realmente quieres hacer esto, por no hablar de la explosi\u00f3n de retardo, el riesgo de fuga de claves directamente al cielo.<\/p>\n
As\u00ed que cuando elijas un proveedor, aseg\u00farate de preguntar por su mecanismo de gesti\u00f3n de claves SSL. Una soluci\u00f3n fiable es almacenar la clave privada localmente en el nodo de borde y cifrarla en memoria, o incluso soportar la rotaci\u00f3n de claves (Key Rotation) como CDN07, que cambia autom\u00e1ticamente la clave privada una vez al trimestre, para evitar topos e infiltraciones.<\/p>\n
En resumen (tsk, no puedo evitar decir la palabra resumen de nuevo), CDN de alta defensa y HTTPS ha sido durante mucho tiempo el est\u00e1ndar de la norma. Lo que necesitas no es la respuesta de \u201csoporte o no\u201d, sino la experiencia de \u201cc\u00f3mo elegir no pisar el foso\u201d. Certificados autom\u00e1ticos pueden salvar el coraz\u00f3n, pero el n\u00facleo es ver la implementaci\u00f3n subyacente del proveedor - de lo contrario la superficie es brillante, detr\u00e1s de todas las minas.<\/p>\n
La pr\u00f3xima vez que le pregunt\u00f3 de alta seguridad CDN apoyo o no apoyo HTTPS, directamente a este art\u00edculo volcado a \u00e9l: no s\u00f3lo el apoyo, sino tambi\u00e9n para jugar a las flores.<\/p>","protected":false},"excerpt":{"rendered":"
Recientemente, alguien siempre me pregunta, CDN de alta seguridad en el apoyo final HTTPS, esta pregunta me pregunt\u00f3 directamente rascarse la cabeza - son 2024, todav\u00eda hay personas que piensan que la CDN de alta seguridad es simplemente llevar DDoS hombre marr\u00f3n? He visto demasiados equipos en el proyecto antes del lanzamiento del fuego para encontrar una soluci\u00f3n, la primera vez que o\u00ed hablar de CDN de alta defensa inmediatamente asociado con la \u201climpieza de tr\u00e1fico\u201d, \u201cdif\u00edcil de llevar el ataque\u201d, pero ignor\u00f3 por completo la parte fatal de la encriptaci\u00f3n de la transmisi\u00f3n. \u00bfEl resultado? Los ataques se evitan, pero los datos est\u00e1 desnudo, robado por el intermediario de una luz tambi\u00e9n tienen que asumir la culpa. A decir verdad, pero ahora cualquier decente de alta defensa CDN proveedores de servicios, HTTPS ha sido durante mucho tiempo no es \u201capoyar o no apoyar\u201d problema, pero \u201cc\u00f3mo dejar que el uso m\u00e1s suave como la seda\u201d problema. Incluso algunos proveedores, como CDN5 y CDN07, ya han sido capaces de aplicar autom\u00e1ticamente para el<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1043","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1043","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1043"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1043\/revisions"}],"predecessor-version":[{"id":1082,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1043\/revisions\/1082"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1043"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1043"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1043"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1043"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}