Récemment, j'ai aidé des amis à faire face à un DDoS sur le serveur et j'ai découvert un problème assez fatal : beaucoup de gens pensaient que tout allait bien sur le CDN de haute défense, les résultats du certificat SSL ne comprenaient pas, le trafic n'allait pas vers le nœud de haute défense a été transpercé. De nos jours, même le CDN doit “prévenir les coéquipiers”, les détails de configuration peuvent vraiment tuer les gens.
J'ai vu la situation la plus scandaleuse : une station de commerce électronique avec des solutions de haute sécurité, mais en raison de l'absence de chaîne de certificats, les utilisateurs d'Apple reçoivent tous un avertissement de sécurité, la perte de la journée 23% commandes iOS. certificats ssl cette chose est juste comme votre cylindre de serrure de porte de sécurité de la maison, semble discret, vraiment hors de question quand vous pouvez sauver votre vie.
Pourquoi est-il plus important de prêter attention aux certificats dans les environnements de haute défense ?Dans les déploiements traditionnels à serveur unique, il est toujours possible de revenir rapidement sur une utilisation abusive des certificats. Cependant, dans l'architecture CDN, la mise à jour des certificats implique une synchronisation globale des nœuds périphériques, ce qui peut entraîner une interruption de l'accès global en cas de mauvaise configuration. En particulier pour les services de planification intelligente tels que CDN5, l'état du certificat affecte directement la stratégie d'allocation du trafic.
Le test a révélé trois problèmes fréquents : premièrement, la chaîne de certificats est incomplète, ce qui entraîne l'échec de la confiance des appareils Android, deuxièmement, l'erreur de format de clé a déclenché le crash du nœud périphérique Nginx, et troisièmement, le certificat a expiré après que le fournisseur de services CDN a automatiquement rétrogradé vers HTTP (08Host l'a déjà fait). Ne me demandez pas comment je le sais, c'est une leçon de sang et de larmes.
Let's Encrypt est maintenant un standard industriel, mais beaucoup de gens ne réalisent pas que leur protocole ACME supporte déjà les certificats wildcard. J'ai l'habitude d'utiliser le schéma acme.sh, qui est plus léger que certbot :
Notez que l'authentification DNS est utilisée ici au lieu de l'authentification HTTP habituelle. Étant donné que les CDN à haute défense cachent généralement l'IP source, l'authentification HTTP échoue souvent. Il est nécessaire d'aller du côté du fournisseur de résolution de noms de domaine pour configurer les enregistrements TXT, bien qu'il s'agisse d'une étape supplémentaire, mais le taux de réussite est de 100%.
Ne vous précipitez pas pour déployer le système une fois que la demande de certificat a abouti, vérifiez d'abord l'intégrité de la chaîne. Une fois, j'ai été suffisamment piégé - l'accès au navigateur est évidemment normal, mais le client Java a tous signalé des erreurs. J'ai découvert plus tard que le certificat intermédiaire était manquant :
La chaîne complète doit contenir trois parties : le certificat de domaine, le certificat intermédiaire R3 de Let's Encrypt et le certificat racine de l'EIGR. La console de CDN07 créera automatiquement la chaîne complète, mais CDN5 doit télécharger le fichier de la chaîne complète manuellement.
Passons maintenant au segment du déploiement ciblé.Les opérations varient considérablement d'un fournisseur de CDN à l'autre :
La console de 08Host est la plus anti-humaine, demandant en fait de fusionner la clé privée et le certificat dans un seul fichier pem :
Un mauvais format conduit directement au nœud national 502, le téléphone du service clientèle peut être cassé. Il est recommandé de vérifier d'abord la configuration avec un domaine de test, puis de couper le nom de domaine principal après 10 minutes d'observation à l'échelle grise.
L'interface API de CDN5 est plutôt bien faite pour être gérée avec des scripts automatisés. Voici la partie principale du script de renouvellement de certificat que j'ai écrit en Python :
Ne croyez pas les tutoriels qui disent “réglez simplement la date d'expiration du certificat sur le renouvellement automatique”. Le mécanisme de mise en cache du CDN de haute défense peut retarder le renouvellement du certificat jusqu'à 4 heures. Il est préférable de définir un rappel de calendrier 30 jours à l'avance. J'avais l'habitude d'effectuer trois opérations de renouvellement 15 jours, 7 jours et 3 jours avant la date d'expiration.
En ce qui concerne l'automatisation, acme.sh est en fait livré avec une intégration CDN. Il prend en charge les plateformes courantes telles que Aliyun, Tencent Cloud, Cloudflare, etc., mais les fournisseurs de services de haute défense doivent écrire leurs propres scripts d'accroche. Ce cas de déploiement vers CDN07 vaut la peine d'être consulté :
Veillez à la sécurité des clés lors de l'automatisation des déploiements. Une fois, une entreprise a codé en dur la clé API dans un script et l'a téléchargé sur GitHub, ce qui a entraîné le vol du certificat par un gang de chantage pour émettre un nom de domaine malveillant. Il est recommandé d'utiliser un schéma de clé dynamique qui actualise automatiquement le jeton d'accès à l'API toutes les 24 heures.
Un dernier mot sur le choix du type de certificat. Si les certificats gratuits sont agréables, les certificats payants sont recommandés pour les scénarios d'entreprise. Ce n'est pas l'argent qui brûle, mais le fait que les certificats OV (Organisation Validation) et EV (Extended Validation) ont une meilleure compatibilité avec le Trusted Root Certificate Store. Certaines agences gouvernementales ou applications bancaires exigent même des certificats EV ou refusent de se connecter.
Le problème le plus étrange que j'aie jamais rencontré : un client utilisait des certificats GeoTrust, mais signalait toujours une erreur de confiance en Afrique du Sud. Plus tard, la capture de paquets a révélé que l'opérateur local avait détourné le processus d'échange SSL. La solution a consisté à forcer l'activation de “HSTS” dans la configuration du CDN et à le précharger dans le noyau du navigateur :
Avec le recul, la configuration d'un certificat SSL est en fait un travail d'expert. Mais chaque lien peut cacher un gouffre profond, depuis le format du certificat, l'intégrité de la chaîne, la synchronisation du déploiement jusqu'au débogage de la compatibilité, où l'erreur peut vous réveiller au milieu de la nuit. Il est recommandé d'établir une liste de contrôle et de cocher chaque élément à chaque opération :
Une fois, j'ai été appelé à trois heures du matin pour traiter une défaillance de certificat, et j'ai découvert que le nœud périphérique du CDN avait mis en cache le certificat expiré. Plus tard, j'ai pris l'habitude de toujours vider le cache du CDN après avoir mis à jour le certificat :
Pour être honnête, les solutions d'automatisation des certificats sont désormais bien établies, mais je persiste à passer en revue manuellement les étapes clés. Les machines font gagner du temps, mais les gens pensent aux exceptions. Après tout, lorsque les choses tournent mal, le patron ne veut pas entendre : “C'est la faute du script d'automatisation”.
Récemment, CDN5 a lancé un service d'hébergement de certificats, qui peut être renouvelé et déployé automatiquement, la vitesse de réponse mesurée est beaucoup plus rapide que celle de 08Host. Mais l'exploitation et la maintenance de la vieille école comme moi, ou plus de confiance en eux-mêmes pour contrôler l'ensemble du processus. Il s'agit peut-être de l'entêtement des techniciens d'âge moyen, qui préfèrent écrire 200 lignes de script, mais qui ne veulent pas non plus céder la place à d'autres.
J'espère que ces expériences vous aideront à être moins frustrés. Rappelez-vous qu'il n'y a pas de sécurité à 99 %, mais seulement zéro et cent. Un travail de base comme la configuration de certificats mérite l'attitude la plus paranoïaque qui soit.
