用户网站使用SSL证书再使用CDN时，SSL错误是什么意思?难道，安装SSL证书的网站不能做CDN?其实不然，开启加速之后，访问网站的时候就会去CDN服务器获取内容，对于未开启https的网站来说，免费的CDN带来很明显的加速效果。但是对于开启 https的网站，我们的证书安装在网站而不是CND服务器，所以访问的时候会提示不安全或者拒绝访问。要了解SSL错误是有哪些原因，得具体了解cdn加速、cdn防御、ssl证书防御原理。

cdn加速：提高网站的速度，增加可扩展性和安全性。早期cdn是将用户重定向到靠近用户的代理服务器(或缓存服务器)来减少Web访问的延迟，以提升网站加载速度。这些年，CDN也开始帮助客户隐藏原始网站IP，并将攻击流量负载分配给多个代理服务器来提供DDoS缓解服务。通过在缓存服务器上部署Web应用程序防火墙，过滤对原始服务器的入侵。

cdn防御：在使用CDN加速时，服务器访问终止于节点上的一个代理服务器，返回缓存的内容。

ssl证书防御：是基于，建立加密隧道以在客户端和Web服务器之间传递敏感信息。获得证书的网站，在访问启用网站时，客户端可以通过验证服务器的证书来验证服务器的身份(例如，它是否由受信任的CA颁发，以及服务器域名是否与证书中列出的信息匹配)。

cdn加速为何会导致ssl错误?

①首先，使用cdn时，cdn服务器会切断HTTPS通信的中间，并将HTTPS分成两部分：最终用户和CDN代理之间的前端通信服务器，以及CDN代理服务器和原始Web服务器之间的后端通信。在这种情况下，客户端和Web服务器之间的安全隧道的建立现在涉及三方。虽然后端交互类似于原始HTTPS，但前端通信变得复杂。

②在HTTPS通信中添加其他方不仅需要更改安全隧道的设置(例如使用不同的证书)，还需要额外的用户感知和委派控制，在纯粹的双方端到端HTTPS模型中，没有一个需要考虑。具体而言，当网站的所有者将其HTTPS的认证信息委托给某些CDN提供商时，应该有一种机制通知最终用户该授权。

此外，网站所有者除了布置waf和防火墙，应该能够根据自己的意愿，有效和独立地从CDN提供商撤销他/她的代表团(无需当前CDN提供商的批准，例如在更换CDN提供商的情况下) 。

ssl错误的解决方法：

在这些使用ssl证书和CDN的网站中，有15%的网站引发了无效证书的警报，对于那些没有证书警告的人，主要是他们使用了两种类型的证书：自定义证书和共享证书。

1、自定义证书：要求网站所有者将其证书和私钥上载到CDN提供商。实质上，在网站和CDN提供商之间共享私钥违反了公钥加密的基本设置。实际上，原始网站的所有者通过与CDN提供商共享私钥而面临更多安全风险，因为CDN提供商可能将这些敏感信息分发到因特网上的所有节点。此外，网站不能独立有效地撤销其CDN提供商的代表团。

2、在共享证书的情况下，CDN依靠合作伙伴CA颁发对多个域名有效的证书。为确保Web客户端收到有效证书，CDN提供商将客户的域名添加到主题备用名称(SAN)扩展[1]他的证书。但是，仅由共享证书表示的委派证明不完整(参见§IV-A2)，这导致在向最终用户显示适当的安全指示符时丧失HTTPS的功能。

例如，假设网站所有者已申请EV(扩展验证)证书以增强网站的保证级别，那么他将无法向网站的用户显示它，而是共享低级别DV(域验证) )属于他的CDN提供商的证书指示符。而且，我们的经验表明，在这种机制中也存在委托撤销的问题。

对于后端通信，我们测量了五个CDN提供商的行为，发现它们都远非完美。其中两个使用HTTP而不是HTTPS进行后端通信。其他三个虽然使用HTTPS，但在建立安全通道时没有执行适当的身份验证，因此容易受到MITM攻击。

如何解决使用CDN部署HTTPS的问题?

1、使用名为名称约束证书的现有技术检查潜在的解决方案。在此方法中，网站所有者扮演从属CA的角色，向CDN提供商颁发证书，限制为所有者的域。虽然这个解决方案在理论上是可行的，并且没有任何协议修改，但我们认为由于以下三个原因，它在部署中是不实际的。首先，我们在一些流行的Web浏览器中发现了一个漏洞，可以轻松绕过名称约束。其次，由于需要运行从属CA，该方法会给网站所有者带来沉重的开销。此外，由于严格的审查和审计责任，商业CA不太可能激励他们的客户成为从属CA。

2、通过扩展名为DANE的新兴技术提出另一种解决方案。在此解决方案中，网站所有者可以明确地向他的代表团显示他的TLSA记录，该记录将网站和CDN提供商的证书相关联。因此，最终用户可以验证原始网站和CDN提供商的身份，以及它们之间的委托。我们的分析和实现表明，该解决方案可以有效地解决CDN中的HTTPS问题。

总之，CDN会转换IP，而SSL就是依靠IP进行加密zhi传输，所以它俩之间有冲突。其实很多CDN目前也开发出了支持SSL证书的模块，很多免费DNS服务采用的都是CDN加速。要解决cdn与https之间的问题，除了分析CDN提供商中HTTPS的当前技术，识别其缺陷和实践问题的测量。还需要进行证书名称约束问题的发现和实验，基于DANE的轻量级灵活解决方案，可解决CDN环境中的HTTPS身份验证问题。