近年来,HTTPS在一众科技巨头的推动下,正在为人们所熟知。作为HTTP的安全版,HTTPS能够为用户与网站、APP之间的通信提供保护,防止数据传输中出现泄露和篡改。目前,全球范围内的主流网站及APP都已采用HTTPS进行服务器的认证、数据的加密和保护,防止因信息泄露产生安全威胁。
在国内,网站和APP遭到黑客劫持、内容丢失或被篡改的情形频发,HTTPS自然也成为了多数互联网服务商的必备,但HTTPS在满足了基本安全需要的同时,也为各个网站和APP的运营方带来了新的烦恼。对此,金山云推出的全链路HTTPS安全方案,帮助多个行业客户解除了采用HTTPS服务的种种麻烦,为客户带来了更优质的选择。
提供特色服务,解决业界难题
金山云全链路HTTPS安全方案在安全、成本、性能上发力,根据客户实际需求,帮助解决多种难题。例如,首先,在通常情况下,如果网站或APP采用HTTPS服务,就必须同时采用SSL建立安全通道,OpenSSL是SSL协议的一种开源实现,负责HTTPS的数据和传输加密等。金山云研发团队针对OpenSSL进行深度开发,同时基于OpenSSL进行keyless研发和算法研究,使OpenSSL进一步优化HTTPS的性能表现,从而为客户提供OpenSSL定制化服务。客户在采用HTTPS服务时,终端可能出现无法连接等故障,OpenSSL定制化服务基于HTTPS状态码监控和握手监控,可生成监控日志用于分析故障原因,实现有效追踪故障源头,对服务端做到可监可管可运维。
金山云能够针对OpenSSL进行定制化开发
第二,HTTPS通信过程需要CA或多个认证机构颁发的证书文件,形成一层层证书链,各层都发给客户端,客户端才能认出证书,完成HTTPS通信。由于网站和APP的经营者对证书链缺乏感知,因此在上传证书的过程中,常常会因为误操作引起证书不全,导致握手失败。金山云可在客户服务器端将所有机构的证书文件填全,客户只需上传自己的证书,其它的金山云均会补齐,减轻客户因证书不全带来的各种负担。
HTTPS证书链示意图(最顶部的是CA“根证书”,除了根证书,其它证书都要依靠上一级的证书,来证明自己。例如,CA信任A和B,然后A信任A1 和A2,B信任B1 和B2,从而构成了证书链。)
第三,CDN客户经常会遇到CDN命中率这样的难题:当用户的访问请求被解析到CDN节点时,往往不能每次都命中缓存,CDN上如果没有用户需要的缓存内容,只能回到源站获得,再发送给用户,影响CDN的加速效果。金山云全链路HTTPS方案对多个使用场景进行深入调研后,推出了精确适配机制,提高命中率,有效降低HTTPS回源次数,从而提高访问速度。
金山云精确适配机制示意图(金山云根据用户请求和端口类别(如 443 和 80 端口),精确适配客户的缓存需求)
对客户来说,无论采用HTTP还是HTTPS,虽然均可回源,但回源极易出现存储错误,增加带宽费用,提高使用成本。金山云的精确适配机制可对回源进行定制,按照服务端识别客户请求,客户可根据自身情况选择是否回源以及回源方式,实现不同类型的服务端对应不同类型的缓存服务,降低客户成本,改善访问体验。
第四,很多厂商采用静态证书架构,证书和私钥放在边缘节点上,泄漏风险极大。金山云全链路HTTPS安全方案采用动态证书架构,它具有深度加密、减少首包时间,提升用户访问体验等特点。金山云在部署的每个节点加载动态证书,按需动态加载,快速全网生效。在SSL握手成功后,用户可快速、安全地访问网站或APP。
金融、游戏、视频行业客户的选择
金山云全链路HTTPS安全方案目前在金融、游戏、视频行业拥有众多客户。例如,在金融行业,某客户是某银行下属公司,由于用户需要通过访问银行网站办理各项业务,因此客户对服务的安全性要求极高,在选择HTTPS服务时,首先就需要为用户帐户信息保密,防止黑客窃听。针对此需求,金山云为客户提供网站HTTPS服务,在保证访问速度的基础上,用户访问客户网站时,能够保障用户隐私不被窃听。
在游戏行业,金山云为多家业界知名公司提供下载防劫持服务。以某知名游戏代理商为例,APP被黑客劫持,被修改渠道号,从而影响代理费是他们最为担心的。金山云帮助该客户解决了这些潜在问题,防止客户的游戏安装包内容被黑客篡改、将资源链接到其它渠道上,避免引起游戏下载量减少,影响客户收入。
在视频行业,对各式APP来说,不同操作系统有着不同的需求。根据苹果的强制要求,iOS系统中的APP全部要采用HTTPS服务,但APP的访问速度等是个问题。而Android系统并无这样的强制要求,这就导致被劫持、体验差的风险比苹果要高得多。针对这些,金山云帮助视频行业位居TOP3 的客户实现全链路HTTPS,改善了iOS和Android终端的安全性和用户体验,有效防止了上述问题的出现。