大家都知道，HTTP 本身是明文傳輸?shù)?，沒(méi)有經(jīng)過(guò)任何安全處理，網(wǎng)站HTTPS解決方案通過(guò)在HTTP協(xié)議之上引入證書(shū)服務(wù)，完美解決網(wǎng)站的安全問(wèn)題。本文將為大家介紹阿里云CDN HTTPS安全加速傳輸?shù)幕A(chǔ)概念、解決方案、技術(shù)優(yōu)勢(shì)和優(yōu)化實(shí)踐。

關(guān)于HTTPS的那些基本概念

需求推進(jìn)技術(shù)革命，互聯(lián)網(wǎng)是如此誕生，HTTPS也是這樣。人們有在互聯(lián)網(wǎng)上分享和瀏覽信息的需求，所以信息的傳輸技術(shù)由此誕生并不斷升級(jí)。后來(lái)，人們位互聯(lián)網(wǎng)上的信息傳輸制定了一些準(zhǔn)則，也就是網(wǎng)絡(luò)協(xié)議HTTP。從最早1991年發(fā)布的HTTP/0.9版本，直到最新的HTTP/2，傳輸速度也在不斷升級(jí)。下面，我們來(lái)看下關(guān)于HTTP都有哪些基本的概念。

HTTP是什么?

HTTP是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)（TCP），用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。

HTTPS是什么?

HTTPS是安全超文本傳輸協(xié)議，英文全稱：Hyper Text Transfer Protocol over Secure Socket Layer，它是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。它的工作原理是將HTTP用SSL/TLS協(xié)議進(jìn)行封裝，主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?；另一種就是確認(rèn)網(wǎng)站的真實(shí)性。
 

 

SL是什么？

SSL是Secure Sockets Layer的縮寫(xiě)，它是一個(gè)安全套接層。架構(gòu)于TCP之上的安全通訊協(xié)定，它可以有效協(xié)助Internet應(yīng)用軟件提升通訊時(shí)的資料完整性以及安全性。后來(lái)，標(biāo)準(zhǔn)化之后的SSL名稱改為 TLS（是“Transport Layer Security”的縮寫(xiě)），中文叫做“傳輸層安全協(xié)議”。很多相關(guān)的文章都把這兩者并列稱呼（SSL/TLS），因?yàn)檫@兩者可以視作同一個(gè)東西的不同階段。

什么是握手？

在加密傳輸之前，客戶端和服務(wù)器首先必須建立連接和交換參數(shù)，校驗(yàn)通過(guò)之后進(jìn)行協(xié)商密鑰和傳輸數(shù)據(jù)，這個(gè)過(guò)程叫做握手（handshake）。

什么是加密和解密？

“加密”的過(guò)程，就是把“明文”變成“密文”的過(guò)程；反之，“解密”的過(guò)程，就是把“密文”變?yōu)?ldquo;明文”。在這兩個(gè)過(guò)程中，都需要一個(gè)關(guān)鍵的東西——叫做“密鑰”——來(lái)參與數(shù)學(xué)運(yùn)算。

總結(jié)：簡(jiǎn)單來(lái)說(shuō)，HTTPS就是HTTP的安全增強(qiáng)版本，是HTTP協(xié)議與SSL加密協(xié)議的結(jié)合，所以也被稱為HTTP over SSL。

為什么要使用HTTPS

HTTPS概念其實(shí)已經(jīng)提出來(lái)好多年了，但直到近兩年，才開(kāi)始被主流應(yīng)用。所以，我們?cè)诮o大家介紹CDN HTTPS解決方案之前，要先搞清楚，為什么要選擇使用HTTPS來(lái)替換掉HTTP。

HTTPS是更具安全性的傳輸協(xié)議，可以防止網(wǎng)站被篡改和劫持，這是最基本的功能。Chrome和Firefox未來(lái)將HTTP標(biāo)記為不安全的協(xié)議。Apple ATS，要求IOS的 9.0或10.0的版本的APP使用HTTPS傳輸。主流的瀏覽器已經(jīng)支持基于TLS的 HTTP/2 。Google會(huì)給使用了HTTPS的網(wǎng)站進(jìn)行搜索排名的加權(quán)，在鼓勵(lì)大家使用。美英政府的網(wǎng)站官網(wǎng)都已經(jīng)轉(zhuǎn)向HTTPS。

我們可以看到，從用戶需求到整個(gè)行業(yè)大趨勢(shì)，都是在推送HTTPS的應(yīng)用。那么阿里云CDN HTTPS的解決方案是怎樣的呢？

CDN HTTPS解決方案

HTTPS能夠有效的防止網(wǎng)站內(nèi)容被篡改被劫持，加強(qiáng)了網(wǎng)站的安全性。所以在阿里云CDN內(nèi)容分發(fā)網(wǎng)絡(luò)中，我們已經(jīng)引入HTTPS安全加速解決方案。

舉個(gè)例子，在一個(gè)具有兩級(jí)節(jié)點(diǎn)的CDN分發(fā)架構(gòu)中，從Client到L1節(jié)點(diǎn)再到L2，再回源到源站，一共具有三段TCP連接，每一段都支持了HTTPS。在這中間，在第一段Client到L1節(jié)點(diǎn)的時(shí)候，需要用戶自己的證書(shū)。L1到L2節(jié)點(diǎn)的時(shí)候使用的是我們的證書(shū)，保證了數(shù)據(jù)加密。回到源站的時(shí)候，如果用戶也希望用HTTPS，我們也可以通過(guò)配置實(shí)現(xiàn)整個(gè)鏈路的HTTPS，充分保證了網(wǎng)站內(nèi)容的防篡改、防劫持。

以上方案，用戶需要將證書(shū)和私鑰傳輸?shù)紺DN的證書(shū)管理中心來(lái)去處理HTTPS的請(qǐng)求。同時(shí)，我們還有更進(jìn)一步的方案。對(duì)于對(duì)自己的證書(shū)和私鑰敏感性很高的用戶，希望將私鑰保存在自己的服務(wù)器上，減少泄露的風(fēng)險(xiǎn)。針對(duì)這種情況，我們推出了無(wú)私鑰解決方案。首先，用戶搭建私鑰服務(wù)器，當(dāng)CDN和Client之間產(chǎn)生了HTTPS握手的時(shí)候，CDN處理的時(shí)候會(huì)提取SNI，域名配置拿到后，向私鑰服務(wù)器（KeyServer）請(qǐng)求簽名或者解密預(yù)主密鑰。這個(gè)方案，我們其實(shí)是把私鑰的部分剝離出來(lái)，通過(guò)KeyServer來(lái)實(shí)現(xiàn)。目前，阿里云已經(jīng)實(shí)現(xiàn)了自己的KeyServer，用戶只需要在自己的私鑰服務(wù)器上安裝一下KeyServer的rpm和配置一下即可。

 

阿里云CDN 提供HTTPS安全加速方案，僅需開(kāi)啟安全加速模式后上傳加速域名證書(shū)/私鑰，實(shí)現(xiàn)全網(wǎng)數(shù)據(jù)加密傳輸功能。

CDN HTTPS的技術(shù)優(yōu)勢(shì)

•支持HTTP/2功能

HTTP/2是對(duì)HTTP/1.x進(jìn)行加強(qiáng)，阿里云CDN 現(xiàn)已全平臺(tái)支持HTTP/2，使用阿里云 HTTPS 加速服務(wù)的域名，即可免費(fèi)享受HTTP/2服務(wù)。HTTP/2是一個(gè)二進(jìn)制的協(xié)議，支持頭部壓縮的功能，多路復(fù)用以及服務(wù)器推送，能夠有效提升傳輸效率。

•豐富的HTTPS配置項(xiàng)

阿里云CDN  HTTPS可以以實(shí)現(xiàn)動(dòng)態(tài)設(shè)置。舉個(gè)例子，在實(shí)踐中發(fā)現(xiàn)有些用戶的APP對(duì)HTTP/2協(xié)議實(shí)現(xiàn)的不夠完美，一種解法就是用戶修改自己的APP，把問(wèn)題修復(fù)。另一種解法就是CDN通過(guò)配置把APP的HTTP/2協(xié)議給關(guān)掉，走HTTP/1.1協(xié)議，給用戶足夠的選擇。

•KeyServer無(wú)私鑰解決方案

前文提到，對(duì)于對(duì)自己證書(shū)和私鑰敏感度很高的用戶，可保障證書(shū)和私鑰安全性，支持自建 KeyServer ，提供KeyServer解決方案和源碼。

•安全功能

HTTPS協(xié)議是由HTTP+SSL協(xié)議組合構(gòu)建的需身份認(rèn)證的加密傳輸網(wǎng)絡(luò)協(xié)議，可全方位保障安全性，防止敏感信息泄露，防止傳輸過(guò)程中流量被劫持，篡改，確保數(shù)據(jù)的完整性。

•動(dòng)態(tài)證書(shū)

支持動(dòng)態(tài)證書(shū)，一個(gè)用戶，如果想使用HTTPS，在上傳完證書(shū)和私鑰之后，全網(wǎng)1分鐘就可以生效了。提供多規(guī)格證書(shū)，支持免費(fèi)證書(shū)、證書(shū)過(guò)期提醒、證書(shū)屬性預(yù)覽。并且與阿里云證書(shū)中心CAS聯(lián)動(dòng)，可以申請(qǐng)免費(fèi)證書(shū)。

•靈活付費(fèi)方式

有后付費(fèi)和預(yù)付費(fèi)兩種形式， 后付費(fèi)HTTPS 0.05元/萬(wàn)次請(qǐng)求，預(yù)付費(fèi)請(qǐng)求包也有450元，4000元，35000元各種規(guī)格，規(guī)格為1億次、10億次、100億次（雙十一折扣）。

HTTPS相對(duì)于HTTP傳輸具有如此多的優(yōu)勢(shì)，那HTTPS在性能方面是否也同樣超越HTTP呢？我們知道，阿里云CDN HTTPS可以減少回源率，提升通信效率，提高驗(yàn)證效率，減少跳轉(zhuǎn)耗時(shí)，這些是通過(guò)哪些技術(shù)來(lái)實(shí)現(xiàn)優(yōu)化的呢？下面我們來(lái)看看CDN HTTPS的優(yōu)化實(shí)踐。

CDN HTTPS優(yōu)化實(shí)踐

首先，我們知道，阻礙HTTPS的性能提升的關(guān)鍵因素是傳輸變慢，因?yàn)門(mén)CP連接握手了之后，還要進(jìn)行SSL的握手，多層的數(shù)據(jù)加解密以及證書(shū)傳輸。

那么HTTPS一定會(huì)變慢嗎？

下圖，是淘寶和天貓使用了HTTPS后的一些性能提升數(shù)據(jù)。其實(shí)我們可以看到，淘寶首頁(yè)和搜索、聚劃算、天貓等頁(yè)面中，性能都是正向提升的。所以接下來(lái)，我們看看CDN HTTPS在性能方面到底做了哪些優(yōu)化？

 

我們知道，SSL在握手階段是非常消耗資源的，SSL本身也支持了session ID和session ticket這兩種方式，第一種session ID是在sever端存儲(chǔ)會(huì)話ID，client端下次請(qǐng)求時(shí)候如果攜帶了同樣的ID，就可以恢復(fù)以前的會(huì)話，省去了大量的握手環(huán)節(jié)。但是一個(gè)client訪問(wèn)不同sever的時(shí)候，存在ID共享的問(wèn)題，實(shí)現(xiàn)起來(lái)比較復(fù)雜。第二種session ticket可以把會(huì)話的信息發(fā)給client，client去保存信息，不會(huì)依賴于某個(gè)sever了。我們需要把HTTP/2協(xié)議用起來(lái)，多路復(fù)用和頭部壓縮都是可以提升傳輸效率的。域名合并，對(duì)于主站和用戶域名比較多的情況，我們就傾向于把域名做合并，合并成一個(gè)泛域名中做處理。這樣可以減少SSL握手，提升重用，進(jìn)而提升效率。協(xié)議棧優(yōu)化，這是各大CDN公司都在做的功能。傳統(tǒng)協(xié)議棧是逐漸的試探并且越來(lái)越多發(fā)送數(shù)據(jù)的過(guò)程，初始化窗口會(huì)比較小。我們現(xiàn)在會(huì)針對(duì)性進(jìn)行調(diào)整，并且提升快速重傳的效率。優(yōu)先算法，優(yōu)先預(yù)制ECDSA的算法，在產(chǎn)生相同加密強(qiáng)度的時(shí)候，數(shù)據(jù)量更少。

以上，都是為了更高效的傳輸和減少數(shù)據(jù)量，CDN HTTPS所進(jìn)行的一些優(yōu)化實(shí)踐。

另外，在峰值的應(yīng)對(duì)上，除了自身的HTTPS優(yōu)化，我們還需要在Cache系統(tǒng)上進(jìn)行預(yù)熱，全部都加載到一級(jí)節(jié)點(diǎn)，就不存在回源的問(wèn)題了。另外，調(diào)度系統(tǒng)中，我們業(yè)務(wù)系統(tǒng)要給出預(yù)判峰值，同時(shí)CDN需要做熱點(diǎn)地區(qū)的統(tǒng)計(jì)，與臨近非熱點(diǎn)地區(qū)分?jǐn)?，依?jù)節(jié)點(diǎn)能力按比例進(jìn)行分配。當(dāng)然，針對(duì)峰值情況，我們也需要做限流。

如何更好的使用HTTPS

說(shuō)了這么多HTTPS的好處，那用戶可以如何更好的使用HTTPS呢？

證書(shū)的申請(qǐng)，根據(jù)域名的類型來(lái)申請(qǐng)，阿里云也提供證書(shū)服務(wù)，可簽發(fā)Symantec、CFCA、GeoTrust證書(shū)。證書(shū)的分類有三種：DV、OV和EV。DV是指基于域名級(jí)別的證書(shū)，機(jī)構(gòu)只需要驗(yàn)證域名的所有者，安全級(jí)別比較低。OV和EV是企業(yè)級(jí)別證書(shū)，除了驗(yàn)證域名所有者還要驗(yàn)證企業(yè)信息。EV的證書(shū)，在訪問(wèn)時(shí)能夠顯示公司名字。源站改造，包括頁(yè)面資源的改造，TLS版本選擇1.0以上，關(guān)于session ID和session ticket的優(yōu)化配置，證書(shū)上支持SHA256等工作。另外，實(shí)際應(yīng)用中，有一個(gè)問(wèn)題，當(dāng)用戶輸入域名，我 們可以通過(guò)配置強(qiáng)制HTTPS訪問(wèn)。