CDN HTTPS解决方案及优化实践

本文涉及的产品
.cn 域名,1个 12个月
简介: 云栖社区2017在线技术峰会,阿里云CDN技术专家容恪来为大家解析CDN HTTPS 红包背后的技术实践。本文主要从SSL/TLS 及 HTTP/2开始谈起,着重分析了HTTPS 架构和优化实践,最后对用户如何更好使用 HTTPS作了指导。
云栖社区2017在线技术峰会,阿里云CDN技术专家容恪来为大家解析CDN HTTPS 红包背后的技术实践。本文主要从SSL/TLS 及 HTTP/2开始谈起,着重分析了HTTPS 架构和优化实践,最后对用户如何更好使用 HTTPS作了指导。

 

以下是精彩内容整理:

SSL/TLSHTTP/2介绍

HTTPS

b5b558e7f91852abe430597a3c7e9aec8884f037

对于HTTPS,其实是在HTTP 之下增加了 SSL/TLS的传输。在整个TCP/IP协议中的结构如图,传输层之上是会话层,会话层中传输的是SSL/TLS协议,HTTP 是在应用层。如果不用 SL/TLS 协议,则 HTTP传输的数据是明文。

0becba2d995749d805761b087773b4431d578775

SSL(Secure Socket Layer)是安全套接层,TLS(Transport Layer Security)是传输层安全协议,建立在SSL3.0协议规范,是 SSL3.0 的后续版本。SSL 直到 3.0版本才大规模的部署和应用。 TLS 版本相比于 SSL 变化明显的是支持的加密算法不同。当前最新使用的是TLS1.2协议。1.3版本还在草案阶段。

5527dfbea8985e23fc69024d41edc4c3163a2091

图为SSL/TLS 握手过程,它在基于TCP的连接已经建立起来后,Client端会把自己的协议版本号以及加密算法还有生成的相关随机数一并发给server,server会选择最终的协议版本和加密算法以及server证书发给Client。Client会对server证书进行验证,校验通过后,两者再去协商密钥,用于后续 HTTPS 数据的加解密。

HTTP/2协议特性

HTTP/2也是非常关键的协议,在2015年已经正式的公布了,它是为了解决HTTP原先版本的低效不安全等问题而产生,并不是为了要完全颠覆HTTP,而是在HTTP基础上做了加强,它的特性有二进制协议,支持头部压缩,多路复用以及服务器推送。服务器推送指在Client端发送请求时,Server端会根据Client请求来做一些判断,会把Client请求中页面包含的一些资源提前推送给Clinet端,提升了传输效率。HTTP/2上更主要的是加强协议的安全性。

8be257efc0adc0c8088f61084c2cf36a928650af

HTTP/2头已经变成二进制格式,并且分为消息头、消息体都封装成二进制格式传输。

add93b5c749403ffabed2bd28b143f5b6b09f701

头部压缩是HTTP/2中非常重要的特点,它针对同一个Client和一个server之间进行数据传输时,有一些header在多次的请求中是相同的,这样多次请求就会出现多次传输相同的 header。HTTP/2协议针对这种情况对所有header信息建立索引,如果在下一次传输时相同的header直接用索引的编号去传输,这样就不会传输一长串的字符串,减少了网络传输信息量,提升了传输效率。当然,头部压缩也存在一些缺点 ,因为不管是Client端还是server端,都要维持索引表,确定每个索引值对应HTTP header的信息,通过占用更多内存换取数据量传输的减少,也可以认为是通过空间换时间。对于现在内存日益扩大的情况下,增加传输效率才是更重要的。

890f4f84fc35326e62acb2fca52417075f4e5f58

HTTP/2协议多路复用的功能如图,HTTP之前的版本最多支持keep live,可以在一个TCP连接上传输多个HTTP请求,对于最基本的keep live,只能在一个请求传输完进行下一个请求的传输,以及在这个基础上还有pipeline,可以在请求方向上同时传输多个get请求,但都不是真正的多路复用。HTTP/2在 TCP 连接的基础上,增加了stream的概念,每个 stream 都可以处理单独的一个 HTTP 请求。在这个基础上,在一条TCP连接上可以同时传输多个 sream,而且不同 stream都有对应编号。因此就支持了真正的多路复用。

 

CDN HTTPS架构

Why HTTPS?

HTTPS有效的防止网站内容被篡改被劫持,加强了网站的安全性。当前的一些形势也对 HTTPS 的要求越来越强烈:Chrome/Firefox未来将 HTTP 标记为不安全,现在我们访问HTTP协议已经出现叹号的提醒了;Apple ATS也会要求App Store 的 app 使用 HTTPS;HTTP/2协议已经在使用,主流浏览器只支持基于 TLS 的 HTTP/2;Google搜索排名给 HTTPS 网站的加权;此外美英政府网站要求 HTTPS。

acb773ce4a9c7211a8544fc1df2d0c92c65852bc

CDN HTTPS架构中首要的就是证书管理,CDN节点的基本架构是通过LVS作为四层的负载均衡,用tengine作为七层的负载均衡,cache 软件是自研的 Swift,依托此架构高效的处理 HTTP 请求。在需要支持 HTTPS时,首先要有证书管理中心,存储用户的证书和私钥,我们做了一个改进,在每个节点会做一个动态证书的加载功能,按需动态加载,。访问流程是,当Client发起一个HTTPS,最终会被某一台tengine处理,当tengine接收到 SSL 握手信息,它会提取出来SNI 信息,也就是要访问的域名信息,根据域名去动态的取到域名对应的证书以及密钥,在这个基础上进行了SSL握手,握手完成后,再进行下面HTTP请求的处理。证书和私钥我们都是动态的加载,只存储在内存中并且混淆存储,全方位保障安全性。

全链路支持 HTTPS

3a3c1b984ce7a5b3d8aecf8303f380dc6015e369

我们可以全链路支持 HTTPS,对于一个具有两级节点的CDN架构中,从Client到L1节点,从L1到L2,以及L2回到自己的源站,整个链路中有三段TCP的连接,每一段CDN都支持了HTTPS,第一段需要用户自己的证书,第二段是我们的证书,保证传输数据的加密。第三段需要用户的源站支持 HTTPS,并且 CDN 的回源也用 HTTPS。

无私钥解决方案

9744cb0ebc3bd17972b39081f8033721ecc4b3e5

越来越多的用户更看重自己的证书和私钥的安全性,希望将私钥存储在在用户私有的服务器 ,而不需要提供给 CDN。针对这种情况,CDN推出无私钥解决方案。用户需要自己搭建一个私钥服务器 KeyServer。当有HTTPS握手时,会从握手信息中提取SNI,确定请求访问的域名,将域名配置拿到。对于该域名,如果用户配置了自己的KeyServer,tengine 给KeyServer发送待解密或者签名数据,KeyServer 响应结果, tenine 拿到结果并完成握手。这种方案,通过将 SSL 握手过程中需要用到私钥的部分通过KeyServer进行剥离,实现了将私钥保存在客户的私有服务器上。CDN 也实现了一套 KeyServer 程序。接下来 CDN 会整理出来搭建 KeyServer 集群的完整方案,如果用户想要搭建自己的KeyServer,CDN 可以为用户提供解决方案以及源码。

CDN HTTPS 特性

CDN HTTPS 特性如下:

  • 动态证书,快速生效,全网 1 分钟可以生效;
  • 支持 SPDY 和 HTTP/2;
  • 丰富的配置项,可动态设置;
  • 支持用户 KeyServer,实现无私钥服务;
  • 与阿里云证书中心 CAS 联动,可申请免费证书。

 

HTTPS 优化实践

ea01446bd168155849bac8406cc277840dbfdfaa

多次握手包含了多次非对称数据加解密以及证书的传输,现实中确实会消耗较多的性能。那么,HTTPS一定会变慢吗?

上图并不能完全代表HTTPS所有的访问都能提升,只是在某些场景下我们做的优化实现了请求的响应速度没有下降,甚至某些场景还有所提升。

优化方法如下:

  • 减少握手:SSL Session ID/Session Ticket,TCP KeepAlive也是需要的;
  • HTTP/2:多路复用和头部压缩可以有效提升数据传输效率;
  • 域名合并:减少 SSL 握手,提升重用;
  • 协议栈优化:调整TCP 初始化窗口,快速重传;
  • 优先算法:ECDSA > RSA。

峰值的应对上,五福开奖的QPS是非常大的,超过了以往处理值,如何应对呢?方法如下:

1.         Cache 系统预热,全部加载到一级节点,避免的访问时回源;

2.         调度系统也要做工作,包含预判峰值;热点地区统计,临近非热点地区分摊;依据节点能力按比例分配;

3.         如此大的峰值肯定可能超过我们的预期,我们也要做限流。

 

如何更好使用 HTTPS

证书

根据自己的域名情况进行申请,单域名、多域名还是泛域名,申请渠道有阿里云CAS以及其他厂商。

11c52cda9b2e482f6ea173210444f057b2d8e3ab

阿里云云盾证书服务可以签发Symantec、CFCA、GeoTrust证书。CFCA侧重于国内的金融机构。证书分为DV、OV、EV,DV指域名级别证书,OV、EV是公司企业级别证书。

源站改造,支持 HTTPS

工作中最繁琐的就是源站改造,最基本的包括以下几方面:

  • 页面资源:会有很多HTTP链接,HTTPS中引用这种链接会有告警,尤其再有异步调用时,甚至不会执行了;
  • SSL/TLS:TLS 版本 1.0 以上,支持SNI;
  • 优化配置:开启Session ID/Session Ticket;
  • 证书:支持SHA256,SHA-1 已经不安全;
  • HSTS:可以考虑强制 HTTPS。

ff4fe171885204d0fda08d9d25e00736efb6e9d0

2c94aeaa5d56daa87e58539c1d6bd75d5e6b00d2

用户直接输入域名,怎么 HTTPS?

当用户浏览地址栏输入域名访问时,浏览器大部分缺省是通过HTTP访问的,这时我们的用户自己的网站就要做一个配置,做302的跳转,所有的HTTP请求都让它访问HTTPS,这可以实现HTTPS的访问,如果仅仅 302 的话,以后的访问请求每次都需要从HTTP跳转到HTTPS,多了一次 HTTP 请求的处理。对此,还需要有另外的配置,浏览器的访问跟随了跳转后,重新发起一个HTTPS请求,服务器除了正常给到内容外,会多加一个STS的header,header标识告诉浏览器以后这个域名就要强制走HTTPS,并给出一个超大的超时时间。

用户关掉浏览器,下次又要访问网站时,浏览器直接会把HTTP请求在内部转成HTTPS,实现了真正的HTTPS,以后浏览器在这个超时时间内都会通过HTTPS进行访问。

 

 

 

 

相关实践学习
Serverless极速搭建Hexo博客
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
相关文章
|
1月前
|
存储 JavaScript 安全
vue项目打包优化:缩小体积productionSourceMap设置,使用cdn加速
vue项目打包优化:缩小体积productionSourceMap设置,使用cdn加速
66 0
|
2月前
|
缓存 监控 负载均衡
在使用CDN时,如何配置缓存规则以优化性能
在使用CDN时,如何配置缓存规则以优化性能
|
3月前
|
安全 Nacos 数据安全/隐私保护
【技术干货】破解Nacos安全隐患:连接用户名与密码明文传输!掌握HTTPS、JWT与OAuth2.0加密秘籍,打造坚不可摧的微服务注册与配置中心!从原理到实践,全方位解析如何构建安全防护体系,让您从此告别数据泄露风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其连接用户名和密码的明文传输成为安全隐患。本文探讨加密策略提升安全性。首先介绍明文传输风险,随后对比三种加密方案:HTTPS简化数据保护;JWT令牌减少凭证传输,适配分布式环境;OAuth2.0增强安全,支持多授权模式。每种方案各有千秋,开发者需根据具体需求选择最佳实践,确保服务安全稳定运行。
324 0
|
6月前
|
域名解析 缓存 负载均衡
【域名解析DNS专栏】域名解析在CDN服务中的应用与优化
【5月更文挑战第30天】本文探讨了域名解析在CDN服务中的重要性,强调其对访问速度和稳定性的影响。文中提出了三种优化方法:使用智能解析以动态选择最佳节点,配置负载均衡保证服务稳定,以及利用DNS缓存提升访问速度。通过Python代码示例展示了基本的DNS解析过程,结论指出优化域名解析对于提升网站性能至关重要。
108 1
|
6月前
|
缓存 监控 UED
CDN(内容分发网络):加速网站加载与优化用户体验
CDN(内容分发网络):加速网站加载与优化用户体验
|
6月前
|
Android开发
Android中Glide加载Https图片失败的解决方案
Android中Glide加载Https图片失败的解决方案
459 1
|
6月前
|
缓存 监控 网络协议
如何利用CDN优化
【4月更文挑战第21天】CDN(内容分发网络)通过在全球部署节点缓存内容,加快用户访问速度和效率。选择适合的CDN服务商,如阿里云、腾讯云,然后配置域名、DNS,并在服务商处上传文件创建节点。优化CDN使用包括设置缓存时间、启用HTTPS、压缩资源及监控性能。注意内容同步与安全问题,确保高效且安全的网站运行。
288 2
|
6月前
|
网络安全
https的证书错误,错误码-1012问题及解决方案
https的证书错误,错误码-1012问题及解决方案
101 0
|
6月前
|
安全 网络安全 CDN
阿里云CDN HTTPS 证书配置流程
阿里云CDN HTTPS 证书配置流程
867 1
|
6月前
|
安全 算法 网络安全
CDN:配置HTTPS证书
CDN:配置HTTPS证书
179 1
下一篇
无影云桌面