公司新闻

ssl错误是什么意思?如何解决
2020-06-09 16:37:09
来源:互联数据
摘要:     用户网站使用SSL证书再使用CDN时,SSL错误是什么意思?难道,安装SSL证书的网站不能做CDN?其实不然,开启加速之后,访问网站的时候就会去CDN服务器获取内容,对于未开启https的网站来说,免费的CDN带来很明显

用户网站使用SSL证书再使用CDN时,SSL错误是什么意思?难道,安装SSL证书的网站不能做CDN?其实不然,开启加速之后,访问网站的时候就会去CDN服务器获取内容,对于未开启https的网站来说,免费的CDN带来很明显的加速效果。但是对于开启 https的网站,我们的证书安装在网站而不是CND服务器,所以访问的时候会提示不安全或者拒绝访问。要了解SSL错误是有哪些原因,得具体了解cdn加速、cdn防御、ssl证书防御原理。


cdn加速:提高网站的速度,增加可扩展性和安全性。早期cdn是将用户重定向到靠近用户的代理服务器(或缓存服务器)来减少Web访问的延迟,以提升网站加载速度。这些年,CDN也开始帮助客户隐藏原始网站IP,并将攻击流量负载分配给多个代理服务器来提供DDoS缓解服务。通过在缓存服务器上部署Web应用程序防火墙,过滤对原始服务器的入侵。


cdn防御:在使用CDN加速时,服务器访问终止于节点上的一个代理服务器,返回缓存的内容。


ssl证书防御:是基于,建立加密隧道以在客户端和Web服务器之间传递敏感信息。获得证书的网站,在访问启用网站时,客户端可以通过验证服务器的证书来验证服务器的身份(例如,它是否由受信任的CA颁发,以及服务器域名是否与证书中列出的信息匹配)。


cdn加速为何会导致ssl错误?


①首先,使用cdn时,cdn服务器会切断HTTPS通信的中间,并将HTTPS分成两部分:最终用户和CDN代理之间的前端通信服务器,以及CDN代理服务器和原始Web服务器之间的后端通信。在这种情况下,客户端和Web服务器之间的安全隧道的建立现在涉及三方。虽然后端交互类似于原始HTTPS,但前端通信变得复杂。


②在HTTPS通信中添加其他方不仅需要更改安全隧道的设置(例如使用不同的证书),还需要额外的用户感知和委派控制,在纯粹的双方端到端HTTPS模型中,没有一个需要考虑。具体而言,当网站的所有者将其HTTPS的认证信息委托给某些CDN提供商时,应该有一种机制通知最终用户该授权。


此外,网站所有者除了布置waf和防火墙,应该能够根据自己的意愿,有效和独立地从CDN提供商撤销他/她的代表团(无需当前CDN提供商的批准,例如在更换CDN提供商的情况下) 。


ssl错误是什么意思?


ssl错误的解决方法:


在这些使用ssl证书和CDN的网站中,有15%的网站引发了无效证书的警报,对于那些没有证书警告的人,主要是他们使用了两种类型的证书:自定义证书和共享证书。


1、自定义证书:要求网站所有者将其证书和私钥上载到CDN提供商。实质上,在网站和CDN提供商之间共享私钥违反了公钥加密的基本设置。实际上,原始网站的所有者通过与CDN提供商共享私钥而面临更多安全风险,因为CDN提供商可能将这些敏感信息分发到因特网上的所有节点。此外,网站不能独立有效地撤销其CDN提供商的代表团。


2、在共享证书的情况下,CDN依靠合作伙伴CA颁发对多个域名有效的证书。为确保Web客户端收到有效证书,CDN提供商将客户的域名添加到主题备用名称(SAN)扩展[1]他的证书。但是,仅由共享证书表示的委派证明不完整(参见§IV-A2),这导致在向最终用户显示适当的安全指示符时丧失HTTPS的功能。


例如,假设网站所有者已申请EV(扩展验证)证书以增强网站的保证级别,那么他将无法向网站的用户显示它,而是共享低级别DV(域验证) )属于他的CDN提供商的证书指示符。而且,我们的经验表明,在这种机制中也存在委托撤销的问题。


对于后端通信,我们测量了五个CDN提供商的行为,发现它们都远非完美。其中两个使用HTTP而不是HTTPS进行后端通信。其他三个虽然使用HTTPS,但在建立安全通道时没有执行适当的身份验证,因此容易受到MITM攻击。


如何解决使用CDN部署HTTPS的问题?


1、使用名为名称约束证书的现有技术检查潜在的解决方案。在此方法中,网站所有者扮演从属CA的角色,向CDN提供商颁发证书,限制为所有者的域。虽然这个解决方案在理论上是可行的,并且没有任何协议修改,但我们认为由于以下三个原因,它在部署中是不实际的。首先,我们在一些流行的Web浏览器中发现了一个漏洞,可以轻松绕过名称约束。其次,由于需要运行从属CA,该方法会给网站所有者带来沉重的开销。此外,由于严格的审查和审计责任,商业CA不太可能激励他们的客户成为从属CA。


2、通过扩展名为DANE的新兴技术提出另一种解决方案。在此解决方案中,网站所有者可以明确地向他的代表团显示他的TLSA记录,该记录将网站和CDN提供商的证书相关联。因此,最终用户可以验证原始网站和CDN提供商的身份,以及它们之间的委托。我们的分析和实现表明,该解决方案可以有效地解决CDN中的HTTPS问题。


总之,CDN会转换IP,而SSL就是依靠IP进行加密zhi传输,所以它俩之间有冲突。其实很多CDN目前也开发出了支持SSL证书的模块,很多免费DNS服务采用的都是CDN加速。要解决cdn与https之间的问题,除了分析CDN提供商中HTTPS的当前技术,识别其缺陷和实践问题的测量。还需要进行证书名称约束问题的发现和实验,基于DANE的轻量级灵活解决方案,可解决CDN环境中的HTTPS身份验证问题。



0

上一篇:618哪个云主机便宜?
下一篇:跟风买免费云服务器,你只会损失越大!
HKT4为您的网站提供全球IDC资源
立即免费测试