近年來(lái)����,HTTPS在一眾科技巨頭的推動(dòng)下����,正在為人們所熟知。作為HTTP的安全版���,HTTPS能夠?yàn)橛脩?hù)與網(wǎng)站���、APP之間的通信提供保護(hù),防止數(shù)據(jù)傳輸中出現(xiàn)泄露和篡改�。目前,全球范圍內(nèi)的主流網(wǎng)站及APP都已采用HTTPS進(jìn)行服務(wù)器的認(rèn)證���、數(shù)據(jù)的加密和保護(hù),防止因信息泄露產(chǎn)生安全威脅�����。
在國(guó)內(nèi)��,網(wǎng)站和APP遭到黑客劫持、內(nèi)容丟失或被篡改的情形頻發(fā)��,HTTPS自然也成為了多數(shù)互聯(lián)網(wǎng)服務(wù)商的必備����,但HTTPS在滿(mǎn)足了基本安全需要的同時(shí),也為各個(gè)網(wǎng)站和APP的運(yùn)營(yíng)方帶來(lái)了新的煩惱����。對(duì)此,金山云推出的全鏈路HTTPS安全方案���,幫助多個(gè)行業(yè)客戶(hù)解除了采用HTTPS服務(wù)的種種麻煩����,為客戶(hù)帶來(lái)了更優(yōu)質(zhì)的選擇��。
提供特色服務(wù)�����,解決業(yè)界難題
金山云全鏈路HTTPS安全方案在安全�����、成本、性能上發(fā)力��,根據(jù)客戶(hù)實(shí)際需求�,幫助解決多種難題。例如����,首先,在通常情況下�,如果網(wǎng)站或APP采用HTTPS服務(wù),就必須同時(shí)采用SSL建立安全通道�,OpenSSL是SSL協(xié)議的一種開(kāi)源實(shí)現(xiàn),負(fù)責(zé)HTTPS的數(shù)據(jù)和傳輸加密等���。金山云研發(fā)團(tuán)隊(duì)針對(duì)OpenSSL進(jìn)行深度開(kāi)發(fā)�����,同時(shí)基于OpenSSL進(jìn)行keyless研發(fā)和算法研究�����,使OpenSSL進(jìn)一步優(yōu)化HTTPS的性能表現(xiàn)�,從而為客戶(hù)提供OpenSSL定制化服務(wù)�����?�?蛻?hù)在采用HTTPS服務(wù)時(shí)�����,終端可能出現(xiàn)無(wú)法連接等故障����,OpenSSL定制化服務(wù)基于HTTPS狀態(tài)碼監(jiān)控和握手監(jiān)控,可生成監(jiān)控日志用于分析故障原因�����,實(shí)現(xiàn)有效追蹤故障源頭��,對(duì)服務(wù)端做到可監(jiān)可管可運(yùn)維��。
金山云能夠針對(duì)OpenSSL進(jìn)行定制化開(kāi)發(fā)
第二���,HTTPS通信過(guò)程需要CA或多個(gè)認(rèn)證機(jī)構(gòu)頒發(fā)的證書(shū)文件�,形成一層層證書(shū)鏈�����,各層都發(fā)給客戶(hù)端,客戶(hù)端才能認(rèn)出證書(shū)��,完成HTTPS通信����。由于網(wǎng)站和APP的經(jīng)營(yíng)者對(duì)證書(shū)鏈缺乏感知,因此在上傳證書(shū)的過(guò)程中�����,常常會(huì)因?yàn)檎`操作引起證書(shū)不全��,導(dǎo)致握手失敗����。金山云可在客戶(hù)服務(wù)器端將所有機(jī)構(gòu)的證書(shū)文件填全,客戶(hù)只需上傳自己的證書(shū)����,其它的金山云均會(huì)補(bǔ)齊,減輕客戶(hù)因證書(shū)不全帶來(lái)的各種負(fù)擔(dān)���。
HTTPS證書(shū)鏈?zhǔn)疽鈭D(最頂部的是CA“根證書(shū)”�����,除了根證書(shū)����,其它證書(shū)都要依靠上一級(jí)的證書(shū)�����,來(lái)證明自己����。例如,CA信任A和B���,然后A信任A1 和A2�,B信任B1 和B2�,從而構(gòu)成了證書(shū)鏈。)
第三�����,CDN客戶(hù)經(jīng)常會(huì)遇到CDN命中率這樣的難題:當(dāng)用戶(hù)的訪問(wèn)請(qǐng)求被解析到CDN節(jié)點(diǎn)時(shí),往往不能每次都命中緩存�����,CDN上如果沒(méi)有用戶(hù)需要的緩存內(nèi)容��,只能回到源站獲得����,再發(fā)送給用戶(hù),影響CDN的加速效果��。金山云全鏈路HTTPS方案對(duì)多個(gè)使用場(chǎng)景進(jìn)行深入調(diào)研后���,推出了精確適配機(jī)制���,提高命中率,有效降低HTTPS回源次數(shù)��,從而提高訪問(wèn)速度��。
金山云精確適配機(jī)制示意圖(金山云根據(jù)用戶(hù)請(qǐng)求和端口類(lèi)別(如 443 和 80 端口)����,精確適配客戶(hù)的緩存需求)
對(duì)客戶(hù)來(lái)說(shuō)��,無(wú)論采用HTTP還是HTTPS���,雖然均可回源,但回源極易出現(xiàn)存儲(chǔ)錯(cuò)誤�,增加帶寬費(fèi)用,提高使用成本�。金山云的精確適配機(jī)制可對(duì)回源進(jìn)行定制���,按照服務(wù)端識(shí)別客戶(hù)請(qǐng)求�,客戶(hù)可根據(jù)自身情況選擇是否回源以及回源方式��,實(shí)現(xiàn)不同類(lèi)型的服務(wù)端對(duì)應(yīng)不同類(lèi)型的緩存服務(wù)�,降低客戶(hù)成本,改善訪問(wèn)體驗(yàn)�。
第四,很多廠商采用靜態(tài)證書(shū)架構(gòu)����,證書(shū)和私鑰放在邊緣節(jié)點(diǎn)上,泄漏風(fēng)險(xiǎn)極大����。金山云全鏈路HTTPS安全方案采用動(dòng)態(tài)證書(shū)架構(gòu)�����,它具有深度加密�����、減少首包時(shí)間����,提升用戶(hù)訪問(wèn)體驗(yàn)等特點(diǎn)���。金山云在部署的每個(gè)節(jié)點(diǎn)加載動(dòng)態(tài)證書(shū)��,按需動(dòng)態(tài)加載�����,快速全網(wǎng)生效����。在SSL握手成功后��,用戶(hù)可快速�、安全地訪問(wèn)網(wǎng)站或APP�����。
金融���、游戲、視頻行業(yè)客戶(hù)的選擇
金山云全鏈路HTTPS安全方案目前在金融����、游戲、視頻行業(yè)擁有眾多客戶(hù)��。例如��,在金融行業(yè)��,某客戶(hù)是某銀行下屬公司����,由于用戶(hù)需要通過(guò)訪問(wèn)銀行網(wǎng)站辦理各項(xiàng)業(yè)務(wù)�����,因此客戶(hù)對(duì)服務(wù)的安全性要求極高�,在選擇HTTPS服務(wù)時(shí)��,首先就需要為用戶(hù)帳戶(hù)信息保密����,防止黑客竊聽(tīng)�。針對(duì)此需求,金山云為客戶(hù)提供網(wǎng)站HTTPS服務(wù)��,在保證訪問(wèn)速度的基礎(chǔ)上���,用戶(hù)訪問(wèn)客戶(hù)網(wǎng)站時(shí)��,能夠保障用戶(hù)隱私不被竊聽(tīng)����。
在游戲行業(yè)����,金山云為多家業(yè)界知名公司提供下載防劫持服務(wù)。以某知名游戲代理商為例��,APP被黑客劫持����,被修改渠道號(hào)����,從而影響代理費(fèi)是他們最為擔(dān)心的��。金山云幫助該客戶(hù)解決了這些潛在問(wèn)題�����,防止客戶(hù)的游戲安裝包內(nèi)容被黑客篡改��、將資源鏈接到其它渠道上����,避免引起游戲下載量減少,影響客戶(hù)收入��。
在視頻行業(yè)����,對(duì)各式APP來(lái)說(shuō)����,不同操作系統(tǒng)有著不同的需求。根據(jù)蘋(píng)果的強(qiáng)制要求����,iOS系統(tǒng)中的APP全部要采用HTTPS服務(wù)�,但APP的訪問(wèn)速度等是個(gè)問(wèn)題�。而Android系統(tǒng)并無(wú)這樣的強(qiáng)制要求,這就導(dǎo)致被劫持�、體驗(yàn)差的風(fēng)險(xiǎn)比蘋(píng)果要高得多。針對(duì)這些���,金山云幫助視頻行業(yè)位居TOP3 的客戶(hù)實(shí)現(xiàn)全鏈路HTTPS�,改善了iOS和Android終端的安全性和用戶(hù)體驗(yàn)�,有效防止了上述問(wèn)題的出現(xiàn)。
微信掃一掃
