业内
ssl错误是什么意思?如何解决
2022-10-12 10:24:49
当用户网站使用SSL证书,然后使用CDN时,SSL错误是什么意思?也就是说,免费的CDN带来了明显的加速效果。但是对于打开https的网站,我们的证书是安装在网站上而不是CND服务器上的,所以访问的时候会提示不安全或者拒绝访问。要了解 SSL 错误的原因,您必须了解 CDN 加速、CDN 防御和 SSL 证书防御的原理。
CDN 加速:提高您网站的速度,提高可扩展性和安全性。早期的 CDN 将用户重定向到靠近用户的代理服务器(或缓存服务器),以减少 Web 访问的延迟并提高网站加载速度。多年来,CDN 也开始帮助客户隐藏原始网站 IP,并将攻击流量负载分发到多个代理服务器,以提供 DDoS 缓解服务。通过在缓存服务器上部署 Web 应用程序防火墙来过滤对源服务器的入侵。
CDN防御:使用CDN加速时,服务器访问终止于节点上的代理服务器,返回缓存内容。
SSL证书防御:基于建立加密隧道在客户端和Web服务器之间传递敏感信息。获取证书的网站,在访问启用的网站时,客户端可以通过验证服务器的证书来验证服务器的身份(例如,是否由受信任的CA颁发,服务器域名是否与列出的信息匹配在证书中)。
cdn加速为什么会导致ssl错误
①首先,在使用cdn时,cdn服务器切断了HTTPS通信的中间,将HTTPS分为两部分:终端用户与CDN代理之间的前端通信服务器,以及CDN代理服务器之间的后端通信和原来的网络服务器。在这种在客户端和 Web 服务器之间建立安全隧道现在涉及三方。虽然后端交互类似于原始 HTTPS,但前端通信变得复杂。
②HTTPS通信添加其他方不仅需要改变安全隧道的设置(比如使用不同的证书),还需要额外的用户感知和委托控制,这些都不需要在纯粹的两方端到端中考虑-end HTTPS 模型。具体来说,当一个网站的所有者将其HTTPS认证信息委托给某个CDN提供商时,应该有一个机制来通知最终用户这个授权。
此外,网站所有者除了部署 waf 和防火墙外,还应能够根据自己的意愿有效、独立地从 CDN 提供商处撤回其委托(无需当前 CDN 提供商的批准,例如在更改 CDN 提供商)关闭)。
ssl错误的解决方法:
在这些使用 ssl 证书和 CDN 的站点中,有 15% 的站点对无效证书提出了警告,而对于那些没有证书警告的站点,它们主要使用了两种类型的证书:自定义证书和共享证书。
1. 自定义证书:要求网站所有者将其证书和私钥上传到 CDN 提供商。本质上,在网站和 CDN 提供商之间共享私钥违反了公钥加密的基本设置。事实上,原始网站的所有者通过与 CDN 提供商共享私钥而面临更多的安全风险,CDN 提供商可能会将这些敏感信息分发给互联网上的所有节点。此外,网站无法独立有效地撤销其 CDN 提供商的授权。
2. 在共享证书的情况下,CDN 依赖合作伙伴 CA 颁发对多个域名有效的证书。为确保 Web 客户端收到有效的证书,CDN 提供商将客户端的域名添加到其证书的主题备用名称 (SAN) 扩展 [1]。但是,仅由共享证书代表的委托证明是不完整的(参见§IV-A2),这会导致在向最终用户显示适当的安全指示器时丢失 HTTPS 功能。
例如,假设网站所有者申请了 EV(Extended Validation)证书来提升网站的保证级别,那么他将无法向网站的用户展示,而是共享低级别的 DV(属于他的 CDN 提供商证书指示符的域验证)。而且,我们的经验表明,这种机制也存在委托撤销的问题。
对于后端通信,我们测量了五家 CDN 提供商的行为,发现它们都远非完美。其中两个使用 HTTP 而不是 HTTPS 进行后端通信。其他三个在使用 HTTPS 时,在建立安全通道时没有执行适当的身份验证,因此容易受到 MITM 攻击。
如何解决使用CDN部署HTTPS的问题
1. 使用称为名称约束证书的现有技术检查潜在的解决方案。在这种方法中,网站所有者充当从属 CA,向 CDN 提供商颁发证书,仅限于所有者的域。虽然这种解决方案在理论上可以在不修改任何协议的情况下进行,但我们认为由于以下三个原因,它在部署中并不实用。首先,我们在一些流行的 Web 浏览器中发现了一个可以轻松绕过名称限制的漏洞。其次,由于需要运行从属 CA,这种方法给网站所有者带来了沉重的开销。此外,由于严格的审查和审计责任,商业 CA 不太可能激励其客户成为从属 CA。
2. 通过一种名为 DANE 的新兴技术提出另一种解决方案。在这个解决方案中,网站所有者可以明确地向他的代表团展示他的 TLSA 记录,该记录将网站和 CDN 提供商的证书相关联。因此,最终用户可以验证原始网站和 CDN 提供商的身份,以及他们之间的委托。我们的分析和实现表明,该方案可以有效解决CDN中的HTTPS问题。
简而言之,CDN会转换IP,而SSL依赖IP进行加密传输,所以它们之间存在冲突。其实很多CDN也开发了支持SSL证书的模块,很多免费的DNS服务都使用了CDN加速。解决CDN和HTTPS之间的问题,除了分析目前CDN提供商中HTTPS的技术,找出其缺陷并衡量实际问题。证书名称约束问题的发现和实验也是需要的,基于DANE的轻量级灵活的解决方案可以解决CDN环境下的HTTPS认证问题。
CDN 加速:提高您网站的速度,提高可扩展性和安全性。早期的 CDN 将用户重定向到靠近用户的代理服务器(或缓存服务器),以减少 Web 访问的延迟并提高网站加载速度。多年来,CDN 也开始帮助客户隐藏原始网站 IP,并将攻击流量负载分发到多个代理服务器,以提供 DDoS 缓解服务。通过在缓存服务器上部署 Web 应用程序防火墙来过滤对源服务器的入侵。
CDN防御:使用CDN加速时,服务器访问终止于节点上的代理服务器,返回缓存内容。
SSL证书防御:基于建立加密隧道在客户端和Web服务器之间传递敏感信息。获取证书的网站,在访问启用的网站时,客户端可以通过验证服务器的证书来验证服务器的身份(例如,是否由受信任的CA颁发,服务器域名是否与列出的信息匹配在证书中)。
cdn加速为什么会导致ssl错误
①首先,在使用cdn时,cdn服务器切断了HTTPS通信的中间,将HTTPS分为两部分:终端用户与CDN代理之间的前端通信服务器,以及CDN代理服务器之间的后端通信和原来的网络服务器。在这种在客户端和 Web 服务器之间建立安全隧道现在涉及三方。虽然后端交互类似于原始 HTTPS,但前端通信变得复杂。
②HTTPS通信添加其他方不仅需要改变安全隧道的设置(比如使用不同的证书),还需要额外的用户感知和委托控制,这些都不需要在纯粹的两方端到端中考虑-end HTTPS 模型。具体来说,当一个网站的所有者将其HTTPS认证信息委托给某个CDN提供商时,应该有一个机制来通知最终用户这个授权。
此外,网站所有者除了部署 waf 和防火墙外,还应能够根据自己的意愿有效、独立地从 CDN 提供商处撤回其委托(无需当前 CDN 提供商的批准,例如在更改 CDN 提供商)关闭)。
ssl错误的解决方法:
在这些使用 ssl 证书和 CDN 的站点中,有 15% 的站点对无效证书提出了警告,而对于那些没有证书警告的站点,它们主要使用了两种类型的证书:自定义证书和共享证书。
1. 自定义证书:要求网站所有者将其证书和私钥上传到 CDN 提供商。本质上,在网站和 CDN 提供商之间共享私钥违反了公钥加密的基本设置。事实上,原始网站的所有者通过与 CDN 提供商共享私钥而面临更多的安全风险,CDN 提供商可能会将这些敏感信息分发给互联网上的所有节点。此外,网站无法独立有效地撤销其 CDN 提供商的授权。
2. 在共享证书的情况下,CDN 依赖合作伙伴 CA 颁发对多个域名有效的证书。为确保 Web 客户端收到有效的证书,CDN 提供商将客户端的域名添加到其证书的主题备用名称 (SAN) 扩展 [1]。但是,仅由共享证书代表的委托证明是不完整的(参见§IV-A2),这会导致在向最终用户显示适当的安全指示器时丢失 HTTPS 功能。
例如,假设网站所有者申请了 EV(Extended Validation)证书来提升网站的保证级别,那么他将无法向网站的用户展示,而是共享低级别的 DV(属于他的 CDN 提供商证书指示符的域验证)。而且,我们的经验表明,这种机制也存在委托撤销的问题。
对于后端通信,我们测量了五家 CDN 提供商的行为,发现它们都远非完美。其中两个使用 HTTP 而不是 HTTPS 进行后端通信。其他三个在使用 HTTPS 时,在建立安全通道时没有执行适当的身份验证,因此容易受到 MITM 攻击。
如何解决使用CDN部署HTTPS的问题
1. 使用称为名称约束证书的现有技术检查潜在的解决方案。在这种方法中,网站所有者充当从属 CA,向 CDN 提供商颁发证书,仅限于所有者的域。虽然这种解决方案在理论上可以在不修改任何协议的情况下进行,但我们认为由于以下三个原因,它在部署中并不实用。首先,我们在一些流行的 Web 浏览器中发现了一个可以轻松绕过名称限制的漏洞。其次,由于需要运行从属 CA,这种方法给网站所有者带来了沉重的开销。此外,由于严格的审查和审计责任,商业 CA 不太可能激励其客户成为从属 CA。
2. 通过一种名为 DANE 的新兴技术提出另一种解决方案。在这个解决方案中,网站所有者可以明确地向他的代表团展示他的 TLSA 记录,该记录将网站和 CDN 提供商的证书相关联。因此,最终用户可以验证原始网站和 CDN 提供商的身份,以及他们之间的委托。我们的分析和实现表明,该方案可以有效解决CDN中的HTTPS问题。
简而言之,CDN会转换IP,而SSL依赖IP进行加密传输,所以它们之间存在冲突。其实很多CDN也开发了支持SSL证书的模块,很多免费的DNS服务都使用了CDN加速。解决CDN和HTTPS之间的问题,除了分析目前CDN提供商中HTTPS的技术,找出其缺陷并衡量实际问题。证书名称约束问题的发现和实验也是需要的,基于DANE的轻量级灵活的解决方案可以解决CDN环境下的HTTPS认证问题。