网站如何兼顾HTTPS加密和访问加速
随着各种互联网安全事件的频发,互联网安全也越发受到重视,因此越来越多的站点开始使用https(超文本加密传输协议)代替http。不过由于https协议流量更大,加密解密也会消耗更长的传输时间,致使https网站相比普通的http网站在加载、传输过程中面临更大的挑战。那么如何为https网站进行加速,成为考验第三方CDN服务商技术实力的重要课题。
对于常规的https加速方案来说,https网站需要将https证书以及私钥提供给第三方CDN服务商,由CDN节点服务器来持有证书和私钥,进而实现https网站加速效果。然而部署此种方案时,https网站必须向第三方CDN服务器节点提供私钥,这就增大了在传输和部署过程中泄漏私钥的风险,令该方案在安全评级方面上不具优势。因此很多企业宁可放弃CDN加速,牺牲掉网站的体验,也不愿使用这种共享私钥的加速方案。
针对这种情况,无证书https加速方案则更具安全优势。采用这种无证书https加速方案后,https网站无需再提供私钥给第三方CDN服务商,只需对源站服务器进行简单配置,即可实现https加速,同时可以保证私钥存在源站的更高安全级别。具体实现无证书https加速如下图所示,可分为四个步骤。
第一,用户向CDN节点发起https请求,进行SSL握手,公钥加密客户端生成随机密码后发往CDN节点。
第二,CDN节点与私钥服务器建连,通过SSL加密的方式将客户端发来的经公钥加密的随机密码发往源站的私钥服务器,私钥服务器通过私钥解密获得随机密码后再将其返回给CDN节点。
第三,当CDN节点和终端用户双方都拥有了随机密码后,两者就可以正常通信了。
第四,如果用户请求的是缓存的内容,则由CDN节点直接响应;若需回源请求,则CDN节点再与源站服务器建立连接来获取内容。
部署https加速方案步骤
无证书https加速方案适用于所有https网站,尤其针对安全要求高的支付、电商、金融等行业用户,不仅能大幅度提升网页打开速度,改善用户访问体验,同时还能进一步保障https网站信息安全。
无证书https加速方案由网宿推出,目前已正式上线,并有多家金融支付类客户开始部署测试使用。比较未配置CDN加速前,采用该方案后可实现网站访问速度平均300%以上的提升。作为首批无证书https加速方案使用者,平安科技表示,该方案可大大提升其网页加载速度,并且保证了网站的高安全等级。
https协议传输优势
前面提到的https证书,又称为SSL证书,由受信任的数字证书颁发机构CA如沃通CA等颁发,具有服务器身份验证和数据传输加密功能,能防止中间人攻击和信息被窃取,可保障用户端与服务器之间收发的信息传输更加安全。
而普通的http协议在安全层面上则有明显的弱势,用户和服务器之间的通讯会被第三方监听和干扰。因此,诸如金融、电商等行业用户更为偏爱在网站中使用https协议,来加强网站的安全性。这样用户在访问网站数据时,不论是接收或是发送,这些数据都会先经过加密处理,可以有效防止不法黑客的拦截。而且即使黑客拦截到数据,也没办法一眼就看出来内容是什么,提升了网站的防护安全性。