R\u00e9cemment, les gens me demandent toujours si les CDN \u00e0 haute s\u00e9curit\u00e9 supportent HTTPS, cette question m'a fait me gratter la t\u00eate - en 2024, il y a encore des gens qui pensent que les CDN \u00e0 haute s\u00e9curit\u00e9 ne font que transporter des DDoS ?<\/p>\n
J'ai vu trop d'\u00e9quipes dans le projet avant le lancement de l'incendie dans la h\u00e2te de trouver une solution, la premi\u00e8re fois que j'ai entendu parler de CDN haute d\u00e9fense imm\u00e9diatement associ\u00e9 au \u201cnettoyage du trafic\u201d, \u201cdifficile de porter l'attaque\u201d, mais compl\u00e8tement ignor\u00e9 la partie fatale du cryptage de la transmission. R\u00e9sultat ? Les attaques sont \u00e9vit\u00e9es, mais les donn\u00e9es sont nues, vol\u00e9es par l'interm\u00e9diaire d'une personne nue qui doit encore porter le chapeau.<\/p>\n
Pour vous dire la v\u00e9rit\u00e9, aujourd'hui, chez tous les fournisseurs de services CDN haute d\u00e9fense d\u00e9cents, HTTPS n'est plus depuis longtemps un probl\u00e8me de \u201cprise en charge ou non\u201d, mais plut\u00f4t un probl\u00e8me de \u201ccomment vous permettre d'utiliser plus de fluidit\u00e9\u201d. M\u00eame certains fournisseurs, tels que CDN5 et CDN07, sont en mesure de demander, de d\u00e9ployer et de renouveler automatiquement des certificats SSL, sans que vous ayez \u00e0 vous soucier de l'aspect du certificat.<\/p>\n
Mais il ne faut pas croire que tous les fournisseurs sont au m\u00eame niveau. J'en ai test\u00e9 sept ou huit, certains disent qu'ils sont compatibles en surface, mais la configuration r\u00e9elle peut vous faire vomir trois litres de sang : soit le certificat est t\u00e9l\u00e9charg\u00e9 pour prendre effet aussi lentement qu'un escargot, soit l'interface de configuration est cach\u00e9e plus profond\u00e9ment qu'un trou noir, et certains ne prennent m\u00eame pas en charge SNI, la configuration multi-domaine directement dans la rue.<\/p>\n
La raison est aussi simple qu'un verre d'eau : vous ne pouvez pas laisser votre maison ouverte parce que vous portez un gilet pare-balles, n'est-ce pas ? La protection DDoS vise \u00e0 pr\u00e9venir les impacts violents externes, tandis que HTTPS vise \u00e0 emp\u00eacher l'\u00e9coute et la falsification des donn\u00e9es, ce qui n'est pas du tout une relation alternative, mais une combinaison en or.<\/p>\n
Les sites HTTP sont depuis longtemps marqu\u00e9s comme \u201cnon s\u00fbrs\u201d, en particulier dans le navigateur Google Chrome. Vous travaillez dur avec un CDN \u00e0 haute d\u00e9fense pour transporter l'attaque de trafic 500G, les r\u00e9sultats de l'utilisateur d'ouvrir le site pour voir le navigateur de signaler la bo\u00eete rouge, tourner autour et aller, cette vague de perte de sang \u00e0 la fin, qui est responsable ?<\/p>\n
J'utilise un CDN \u00e0 haute d\u00e9fense dans mon environnement de production depuis 2017, et dans les premiers temps, j'ai d\u00fb lancer des certificats manuellement : les acheter moi-m\u00eame, les faire circuler moi-m\u00eame, garder un \u0153il sur le renouvellement du d\u00e9lai d'expiration, c'\u00e9tait une douleur dans le cul. Mais aujourd'hui ? Oh, l'automatisation a \u00e9t\u00e9 pouss\u00e9e \u00e0 un point tel que m\u00eame le clic d'un bouton est sauvegard\u00e9 - il suffit de faire correspondre l'enregistrement CNAME dans l'\u00e9tape de r\u00e9solution DNS, et le certificat est automatiquement en place.<\/p>\n
Par exemple, CDN5, que j'ai aid\u00e9 le mois dernier \u00e0 migrer des clients, a fait le vrai test : ajouter un nom de domaine en cochant la case \u201cSSL automatique\u201d, il est directement li\u00e9 \u00e0 Let's Encrypt, en 15 minutes pour \u00e9mettre et d\u00e9ployer automatiquement des certificats, mais aussi vient avec HTTP \/ 2 et TLS 1.3 de support. Pouvez-vous le croire ? C'est une exp\u00e9rience beaucoup plus confortable que de frotter les certificats \u00e0 la main sur Nginx moi-m\u00eame.<\/p>\n
CDN07 supporte m\u00eame les certificats personnalis\u00e9s + le mode hybride de renouvellement automatique - si vous avez d\u00e9j\u00e0 un certificat d'entreprise (tel que DigiCert ou Sectigo), vous pouvez t\u00e9l\u00e9charger votre propre cl\u00e9 priv\u00e9e et cha\u00eene de certificats, et en m\u00eame temps activer le renouvellement automatique, afin d'\u00e9viter toute interruption d'activit\u00e9 due \u00e0 l'expiration du certificat. Ce genre de d\u00e9tails n'est vraiment compris que par les v\u00e9t\u00e9rans qui ont mis les pieds dans le plat.<\/p>\n
Mais ne croyez pas au battage publicitaire qui consiste \u00e0 dire que le syst\u00e8me est \u201centi\u00e8rement automatis\u00e9 et imbattable\u201d. Les fonctions SSL automatiques de certains petits vendeurs sont \u00e0 moiti\u00e9 d\u00e9velopp\u00e9es, comme la non prise en charge des certificats wildcard, la non prise en charge de la r\u00e9solution des inondations de noms de domaine \u00e0 plusieurs niveaux, et m\u00eame certains ne soumettent m\u00eame pas les journaux de transparence des certificats (CT), ce qui entra\u00eene le rejet des certificats sur les appareils iOS. Je suis tomb\u00e9 dans ce trou l'ann\u00e9e derni\u00e8re et j'ai \u00e9t\u00e9 r\u00e9veill\u00e9 au milieu de la nuit par un message texte d'alarme, c'\u00e9tait un cauchemar.<\/p>\n
Au niveau de la configuration, la plupart des CDN de haut niveau proposent d\u00e9sormais deux modes : les \u201cEdge Certificates\u201d (h\u00e9berg\u00e9s et g\u00e9r\u00e9s automatiquement par le fournisseur du CDN) et les \u201cCustom Certificates\u201d (que vous t\u00e9l\u00e9chargez vous-m\u00eame). Je recommande vivement l'utilisation des certificats Edge, \u00e0 moins que vous n'ayez des exigences strictes en mati\u00e8re de conformit\u00e9 - c'est facile, sans effort et gratuit.<\/p>\n
Par exemple, supposons que vous utilisiez le CDN haute-d\u00e9fense de 08Host (la r\u00e9sistance aux attaques de ce CC est forte), le processus de configuration est probablement long comme ceci :<\/p>\n
C'est fait. Ensuite, 30 jours avant l'expiration du certificat, le syst\u00e8me le renouvellera automatiquement, sans que vous ayez \u00e0 lire l'e-mail de rappel.<\/p>\n
Mais si vous avez une t\u00eate de fer et que vous devez transmettre le certificat vous-m\u00eame, ce n'est pas grave. Mais attention : la cl\u00e9 priv\u00e9e doit \u00eatre au format PEM et doit contenir la cha\u00eene de certificats compl\u00e8te. Beaucoup de gens tombent dans cette \u00e9tape, passant le certificat mais manquant la cha\u00eene interm\u00e9diaire, ce qui entra\u00eene une erreur de certificat sur l'appareil Android.<\/p>\n
La commande OpenSSL que j'utilise couramment pour g\u00e9n\u00e9rer la cha\u00eene compl\u00e8te :<\/p>\n
T\u00e9l\u00e9chargez ensuite ce fullchain.pem avec la cl\u00e9 priv\u00e9e, en toute s\u00e9r\u00e9nit\u00e9.<\/p>\n
Une autre op\u00e9ration sordide est le pr\u00e9chargement HSTS. Si vous utilisez des fournisseurs CDN5 ou CDN07 qui supportent HSTS, il est fortement recommand\u00e9 de l'activer - il force le navigateur \u00e0 se connecter \u00e0 votre domaine uniquement via HTTPS, m\u00eame le premier saut est sauvegard\u00e9, ce qui \u00e9limine compl\u00e8tement les attaques par stripping SSL. Cependant, cette \u00e9tape est une arme \u00e0 double tranchant, assurez-vous de confirmer que tous les sous-domaines ont \u00e9t\u00e9 activ\u00e9s via HTTPS avant la configuration, ou verrouillez directement l'acc\u00e8s.<\/p>\n
En ce qui concerne les performances, je sais que beaucoup de gens craignent que le cryptage et le d\u00e9cryptage TLS n'augmentent le temps de latence. Mais pour \u00eatre honn\u00eate, les n\u0153uds de p\u00e9riph\u00e9rie des CDN de haute d\u00e9fense sont maintenant des cartes d'acc\u00e9l\u00e9ration SSL mat\u00e9rielles, cette petite surcharge est presque n\u00e9gligeable. J'ai test\u00e9 un projet de commerce \u00e9lectronique, l'augmentation de la latence est inf\u00e9rieure \u00e0 3 ms apr\u00e8s l'ouverture de HTTPS, mais l'am\u00e9lioration de la s\u00e9curit\u00e9 est exponentielle.<\/p>\n
M\u00eame certains fournisseurs tels que 08Host, mais aussi le ticket de session TLS (ticket de session) multiplexage, le m\u00eame utilisateur une courte p\u00e9riode de temps pour r\u00e9p\u00e9ter la connexion ne n\u00e9cessite pas une poign\u00e9e de main compl\u00e8te, le multiplexage direct de la cl\u00e9 de cache, plus rapide que HTTP (apr\u00e8s tout, HTTP\/2 multiplexage est \u00e9galement parfum\u00e9e ah).<\/p>\n
Enfin, j'aimerais dire que, de nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d. Certains petits fournisseurs sous la banni\u00e8re de CDN haute d\u00e9fense, en fait, la cl\u00e9 priv\u00e9e SSL existe r\u00e9ellement sur le serveur central, les n\u0153uds p\u00e9riph\u00e9riques doivent retourner \u00e0 la source de chaque d\u00e9cryptage pour extraire la cl\u00e9 - ce n'est pas pour enlever leur pantalon p\u00e9t\u00e9 ? Si vous voulez vraiment faire cela, sans parler de l'explosion des d\u00e9lais, le risque de fuite de cl\u00e9 directement vers le ciel.<\/p>\n
Lors du choix d'un fournisseur, il convient donc de s'enqu\u00e9rir de son m\u00e9canisme de gestion des cl\u00e9s SSL. Une solution fiable consiste \u00e0 stocker la cl\u00e9 priv\u00e9e localement dans le n\u0153ud p\u00e9riph\u00e9rique et \u00e0 la chiffrer en m\u00e9moire, voire \u00e0 prendre en charge la rotation des cl\u00e9s (Key Rotation) comme CDN07, qui change automatiquement la cl\u00e9 priv\u00e9e une fois par trimestre, afin d'\u00e9viter les taupes et les infiltrations.<\/p>\n
En bref (tsk, je ne peux pas m'emp\u00eacher de r\u00e9p\u00e9ter le mot r\u00e9sum\u00e9), le CDN \u00e0 haute d\u00e9fense et le HTTPS sont depuis longtemps la norme de la norme. Ce dont vous avez besoin, ce n'est pas de la r\u00e9ponse \u201csupport ou pas\u201d, mais de l'exp\u00e9rience \u201ccomment choisir de ne pas marcher sur la fosse\u201d. Les certificats automatiques peuvent sauver le c\u0153ur, mais l'essentiel est de voir la mise en \u0153uvre sous-jacente du fournisseur - sinon la surface est brillante, mais derri\u00e8re toutes les mines.<\/p>\n
La prochaine fois que quelqu'un vous demandera si un CDN de haute s\u00e9curit\u00e9 supporte ou non HTTPS, consultez directement cet article : il ne s'agit pas seulement d'un support, mais aussi d'un jeu de fleurs.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, quelqu'un m'a toujours demand\u00e9 si le CDN \u00e0 haute s\u00e9curit\u00e9 supporterait le HTTPS. Cette question m'a fait me gratter la t\u00eate : en 2024, il y a encore des gens qui pensent que le CDN \u00e0 haute s\u00e9curit\u00e9 n'est qu'un moyen de porter une attaque DDoS ? J'ai vu trop d'\u00e9quipes dans le projet avant le lancement de l'incendie pour trouver une solution, la premi\u00e8re fois que j'ai entendu parler de CDN haute d\u00e9fense imm\u00e9diatement associ\u00e9 \u00e0 la \u201cnettoyage du trafic\u201d, \u201cdifficile de porter l'attaque\u201d, mais compl\u00e8tement ignor\u00e9 la partie fatale du cryptage de la transmission. R\u00e9sultat ? Les attaques sont \u00e9vit\u00e9es, mais les donn\u00e9es sont nues, vol\u00e9es par l'interm\u00e9diaire d'une lumi\u00e8re doivent \u00e9galement prendre le bl\u00e2me. Pour vous dire la v\u00e9rit\u00e9, mais maintenant tous les fournisseurs de services CDN haute d\u00e9fense d\u00e9cents, HTTPS n'est plus depuis longtemps un probl\u00e8me de \u201csupport ou non support\u201d, mais plut\u00f4t un probl\u00e8me de \u201ccomment vous permettre d'utiliser plus de douceur\u201d. M\u00eame certains fournisseurs, tels que CDN5 et CDN07, ont d\u00e9j\u00e0 \u00e9t\u00e9 en mesure de demander automatiquement l'autorisation d'utiliser le protocole HTTPS.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1043","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1043","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1043"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1043\/revisions"}],"predecessor-version":[{"id":1082,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1043\/revisions\/1082"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1043"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1043"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1043"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1043"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}