在证书管理和安全领域,通信加密至关重要。大多数组织都知道,SSL/TLS 加密在保护服务器和网络浏览器之间传输的敏感信息方面发挥着至关重要的作用。要确保只有指定的接收方才能访问传输的数据,就必须采用最新的加密技术,以防止中间人(MiTM)网络攻击窃听和拦截数据交换。
随着越来越多的企业努力符合 SSL / TLS 标准,他们必须确保这不会严重影响网站的性能和速度。应对大数据传输的最流行解决方案之一是使用 CDN 或内容分发网络。与人们普遍认为的相反,CDN 往往是提高 SSL / TLS 性能的最大因素。
CDN 从根本上减少了延迟,加快了服务器和浏览器之间的安全 “握手 ”过程,从而更快地向用户交付内容。但这还不是全部,让我们来探讨一下 CDN 如何在提高整体性能的同时加强 SSL / TLS 加密。
了解 SSL / TLS 及其挑战
SSL(安全套接字层)及其后续版本 TLS(传输层安全)是用于在浏览器(客户端)和服务器之间建立安全加密连接的协议。这些安全协议可确保任何数据(如登录信息、信用卡信息、电子邮件、照片和重要文件)在传输过程中保持机密和隐蔽。
SSL / TLS 已成为保护每个利用互联网进行商务或休闲活动的人的信息的重要因素,使他们能够进行安全交易,并以保密和合法的方式共享数据。在谷歌日益复杂和不断发展的算法中,它也已演变成一个重要的排名因素,这意味着没有 SSL / TLS 认证的企业有可能在排名中大幅落后。这对于在日益用户体验驱动和快节奏的在线采购环境中成长起来的小公司尤其有帮助。
此外,SSL/TLS 连接与普通的 TCP 连接也有特殊的不同之处。典型的 TCP 连接是通过 “三方握手 ”建立的,即发送连接请求(SYN)、确认(SYN/ACK)和响应(ACK)结束循环。SSL / TLS 连接需要额外的来回通信,因为浏览器和服务器会商定兼容的加密模式,相互验证,并生成对称密钥,对会话期间交换的所有信息进行编码和解码。
因此,握手过程中的额外步骤以及在组织基础设施中需要验证的众多连接会增加服务器的资源容量和响应时间。
CDN 如何提高 SSL / TLS 性能
CDN 解决方案提供了一种积极主动、经济高效的方式,可帮助企业缓解延迟、容量和响应时间等诸多问题。根据 6sense 的数据,目前有近 400 万家公司正在使用 CDN 软件,这意味着他们清楚地认识到 CDN 作为一种解决方案的优势。
当用户试图从不同的地理位置访问资源时,CDN 的实施可让服务器弥合这些差距,并在不影响安全性的情况下更快地传输数据。
缩短往返时间 (RTT)
CDN 的工作方式是通过遍布全球的广泛服务器网络分发内容,从而缩短特定地区用户与最近服务器之间的物理距离。
有了精心布置的 CDN 服务器,SSL/TLS 的握手时间就可以缩短,出错的几率也会降低,连接的建立速度也会加快,在更快的本地缓存的帮助下,后续请求的响应时间也会得到改善。
会话恢复和缓存
众所周知,CDN 利用各种流程和技术加快用户对网站服务器的重复访问。由于其 IP 地址和凭据被分配了 TLS 会话 ID,回访者在首次访问后可以无一例外地跳过完整的握手过程,这可以向服务器发出信号,表明用户是有效的,并且表面上已经 “通过了安全验证”。
通过扩展,任何加密的会话信息都存储在客户端,从而可以快速恢复会话。例如,在用户短暂离开网站后返回其购物车时,所有项目都会被完整地存储起来。
此外,源服务器和 CDN 之间的持久连接可减少频繁的完全握手,从而带来更好、更快的体验。
负载平衡
许多组织都会遇到高网络流量波动的情况,尤其是在季节性高峰期。出现这种情况时,当服务器需要将资源分配给更多客户时,CDN 可以帮助将请求分配给多个分散的服务器。反过来,这又能确保不会出现单台服务器不堪重负而完全宕机的情况。
针对 SSL / TLS 的 CDN 的安全优势
除了为 CDN 客户带来明显的性能提升外,这些解决方案还增强了 SSL / TLS 的许多固有安全性。
如上所述,许多 CDN 都内置了由可信的证书颁发机构 (CA)颁发的 SSL / TLS 证书。这意味着加密的自动注册变得更加容易,任何新的更新和补丁都可以更加自主地应用。
CDN 还倾向于提供简便的 HSTS(HTTP 严格传输安全)激活服务,确保域和子域只能通过 SSL/TLS 访问,从而降低降级攻击的风险,并将用户访问未加密和不安全资源的风险降至最低。
随着包括 MITM 和 DDoS(分布式拒绝服务)攻击在内的网络威胁不断扩散,CDN 可以帮助缓解这些威胁。据领先的 CDN 提供商 CloudFlare 称,后一种攻击同比增长了 117%。
它们可以吸收大量网络流量,根据合法性过滤请求,识别并阻止恶意渗透资源的企图。所有这些都不会影响合法用户会话期间已建立的 SSL / TLS 连接的稳定性。总之,声誉良好的 CDN 提供商还了解新发现的网络威胁漏洞,并定期实施新的补丁和改进措施。
综述
CDN 市场已经经历了巨大的增长,预计到 2028 年估值将达到365.1 亿美元。虽然 CDN 无疑能提供巨大的 SSL / TLS 性能和安全优势,但用户必须注意一些其他因素。
CDN 提供商可能会出现服务中断,这意味着这些服务器上的网站也可能受到影响。未来几年,CDN 和 SSL / TLS 之间的共生关系只会继续加强,最终为每个人铺就一条更快、更安全的网络之路。不过,在前进的道路上可能会遇到一些障碍--不要期望马上就能达到 100% 的完美效果,尤其是在服务器设置比较复杂的情况下。
添加 CDN 解决方案会给企业的基础设施带来另一个层面,虽然表面上看是一种安全改进,但这意味着需要考虑故障排除、供应商锁定和合同协议等问题。在未来通过 CDN 进行迁移时,这些问题也值得考虑。设置越复杂,迁移就越具有挑战性。
此外,通过 CDN 设置开展业务可能会产生额外的费用和成本因素。不过,尽管有这些前期成本,但长期的投资回报率将使投资物有所值。将 SSL / TLS 提供商更改为GlobalSign也将使过渡更加容易。
通过选择合适的 CDN 提供商并实施这些策略,企业可以利用这些解决方案的强大功能,为用户提供安全、高性能的体验,满足他们的需求,最重要的是,保证他们的数据安全。
注:本博客文章由特约撰稿人撰写,目的是为我们的读者提供更广泛的内容。本特约撰稿人文章中表达的观点仅代表撰稿人本人,不代表 GlobalSign 的观点。
