使用了SSL证书的网站使用CDN时会有哪些问题(一)

最新推荐文章于 2024-05-20 20:01:29 发布
最新推荐文章于 2024-05-20 20:01:29 发布
阅读量4k 收藏 6
点赞数 1
分类专栏: 网络安全

内容交付网络(CDN)被广泛部署,以提高网站的性能,可扩展性和安全性。它们最初用于通过将用户重定向到靠近用户的代理服务器(或缓存服务器)来减少Web访问的延迟,以及减轻原始Web服务器的负载。近年来,CDN提供商也开始通过隐藏原始网站并将攻击流量负载分配给多个代理服务器来提供DDoS缓解服务。通过在缓存服务器上部署Web应用程序防火墙,CDN还可以过滤对原始服务器的入侵。

使用CDN,Web访问终止于分布在Internet上的一个代理服务器,返回缓存的内容。然而,这种“中间人(MITM)”模型在为端到端通信设计的其他技术中引入了额外的复杂性。HTTPS(或基于TLS的HTTP)就是这样一种端到端协议,它建立加密隧道以在客户端和Web服务器之间传递敏感信息。Web服务器操作员可以从证书颁发机构(CA)获取证书,证书颁发机构(CA)受服务器和客户端浏览器的信任。在访问启用HTTPS的网站时,客户端可以通过验证服务器的证书来验证服务器的身份(例如,它是否由受信任的CA颁发,以及服务器域名是否与证书中列出的信息匹配)。

然而,当使用CDN(“中间人”)时,CDN服务器切断HTTPS通信的中间,并将HTTPS分成两部分:最终用户和CDN代理之间的前端通信服务器,以及CDN代理服务器和原始Web服务器之间的后端通信。在这种情况下,信任模型和双方(客户端和Web服务器)之间的安全隧道的建立现在涉及三方。虽然后端交互类似于原始HTTPS,但前端通信变得复杂。因为在HTTPS通信中添加其他方不仅需要更改安全隧道的设置(例如使用不同的证书),还需要额外的用户感知和委派控制,在纯粹的双方端到端HTTPS模型中,没有一个需要考虑。具体而言,当网站的所有者将其HTTPS的认证信息委托给某些CDN提供商时,应该有一种机制通知最终用户该授权。此外,网站所有者应该能够根据自己的意愿有效和独立地从CDN提供商撤销他/她的代表团(无需当前CDN提供商的批准,例如在更换CDN提供商的情况下) 。

本文研究了使用HTTPS和CDN的当前实践。对于前端通信,我们调查了20个流行的CDN提供商和10,721个客户网站。这些网站支持HTTPS访问,并通过基于DNS的请求路由使用CDN,这是在Internet中采用CDN服务的主要机制。在这些使用HTTPS和CDN的10,721个网站中,我们观察到其中15%的网站引发了无效证书的警报,从而打破了HTTPS的信任模型。对于那些没有证书警告的人,我们发现他们使用了两种类型的证书:自定义证书和共享证书。

自定义证书要求网站所有者将其证书和私钥上载到CDN提供商。实质上,在网站和CDN提供商之间共享私钥违反了公钥加密的基本设置。实际上,原始网站的所有者通过与CDN提供商共享私钥而面临更多安全风险,因为CDN提供商可能将这些敏感信息分发到因特网上的所有节点。此外,网站不能独立有效地撤销其CDN提供商的代表团。

在共享证书的情况下,CDN依靠合作伙伴CA颁发对多个域名有效的证书。为确保Web客户端收到有效证书,CDN提供商将客户的域名添加到主题备用名称(SAN)扩展[1]他的证书。但是,仅由共享证书表示的委派证明不完整(参见§IV-A2),这导致在向最终用户显示适当的安全指示符时丧失HTTPS的功能。例如,假设网站所有者已申请EV(扩展验证)证书以增强网站的保证级别,那么他将无法向网站的用户显示它,而是共享低级别DV(域验证) )属于他的CDN提供商的证书指示符。而且,我们的经验表明,在这种机制中也存在委托撤销的问题。

对于后端通信,我们测量了五个CDN提供商的行为,发现它们都远非完美。其中两个使用HTTP而不是HTTPS进行后端通信。其他三个虽然使用HTTPS,但在建立安全通道时没有执行适当的身份验证,因此容易受到MITM攻击。

为了解决使用CDN部署HTTPS的挑战,我们首先使用名为名称约束证书的现有技术检查潜在的解决方案。在此方法中,网站所有者扮演从属CA的角色,向CDN提供商颁发证书,限制为所有者的域。虽然这个解决方案在理论上是可行的,并且没有任何协议修改,但我们认为由于以下三个原因,它在部署中是不实际的。首先,我们在一些流行的Web浏览器中发现了一个漏洞,可以轻松绕过名称约束。其次,由于需要运行从属CA,该方法会给网站所有者带来沉重的开销。此外,由于严格的审查和审计责任,商业CA不太可能激励他们的客户成为从属CA.

然后,我们通过扩展名为DANE的新兴技术提出另一种解决方案。在此解决方案中,网站所有者可以明确地向他的代表团显示他的TLSA记录,该记录将网站和CDN提供商的证书相关联。因此,最终用户可以验证原始网站和CDN提供商的身份,以及它们之间的委托。我们的分析和实现表明,该解决方案可以有效地解决CDN中的HTTPS问题。
总之,我们在本文中做出以下贡献:
• 分析在CDN中部署HTTPS的问题和挑战;
• 用于调查CDN提供商中HTTPS的当前技术,识别其缺陷和实践问题的测量;
• 关于HTTPS使用的X.509证书名称约束问题的发现和实验;
• 基于DANE的轻量级灵活解决方案,可解决CDN环境中的HTTPS身份验证问题。

CauchyBDS
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP利用Socket获取网站SSL证书与公钥
10-19
在本文中,我们将深入探讨如何使用PHP通过Socket接口获取网站SSL证书与公钥。SSL(Secure Sockets Layer)证书是网络安全中一个...同时,理解SSL证书与私钥的关系以及它们在CDN中的应用也是保障网络安全的重要一环。
阿里SSL证书两种配置方法
07-27
SSL(Secure Sockets Layer)证书是互联网安全领域的重要组成部分,用于加密网站的通信,确保用户数据在传输过程中不被窃取或篡改...在实际线上部署时,应使用正规的CA签发的SSL证书,以保证应用的安全性和用户信任度。
HTTPS的加密技术——中间人攻击
闲来垂钓碧溪上的博客
05-24 1598
https是基于http的一层加密技术,有两种加密方式,针对不同的数据传输可以使用不同加密算法结合使用,最常用也最安全的是双重加密技术,不过单独使用还是会有风险,对于中间人攻击这个算法也会被偷梁换柱,于是需要引入证书对症下药,以此来保障数据的安全性和完整性。
CDN部署SSL证书需要注意哪些事项?
qq_38477071的博客
04-26 1659
最近接到不少用户来咨询CDN部署了SSL证书,服务器上用不用部署等相关问题。今天就这个问题来具体分析一下。 CDN部署了SSL证书,服务器上如若不部署的话,还是不安全的。为什么这么说呢? SSL证书如果直接部署到CDN,同样网站也可以实现HTTPS访问,但CDN获取源服务器资源的过程是HTTP协议,如果源IP泄漏,用户可袭以直接使用技术方式直接访问真实的IP,这样就绕过了SSL设置的安全技术,...
【一行命令】一分钟轻松搞定ssl证书3个月过期,支持CDN,OSS,SSL
最新发布
lijiong398的博客
05-20 858
介绍支持特点Stage 1:ssh登录阿里云 ECSStage 2:进入nginx (docker)容器Stage 3:执行如下指令Stage 3-1:更新 apt-getStage 3-2:安装 curlStage 3-3:登录httpsok官网获取部署指令Stage 3-4:在nginx容器中执行部署指令Stage 4:进入官网,查看nginx证书信息Stage 5:添加DNS解析Stage 5-1:httpsOk官网查看需要添加的DNS解析。
HTTPS环境使用第三方CDN证书难题与最佳实践 | 高可用CDN架构详解(二)
weixin_45583158的博客
08-08 328
上一篇《CDN对流媒体和应用分发的支持及优化》发出后得到了业界广泛的关注(点击文末“阅读原文”可进),文章介绍的CDN架构都是基于HTTP的,在目前互联网环境,基于安全的...
https ddos攻击——由于有了认证和加解密 后果更严重 看绿盟的产品目前对于https的ddos cc攻击需要基于内容做检测...
djph26741的博客
09-11 625
如果web服务器支持HTTPS,那么进行HTTPS洪水攻击是更为有效的一种攻击方式,一方面,在进行HTTPS通信时,web服务器需要消耗更多的资源用来进行认证和加解密,另一方面,一部分的防护设备无法对HTTPS通信数据流进行处理,也会导致攻击流量绕过防护设备,直接对web服务器造成攻击。 HTTPS的DDoS攻击防护 随着越来越多的网络业务由明文HTTP转向加密HTT...
使用SSL证书网站使用CDN时会有哪些问题(三)
qq_30683393的博客
05-02 1110
当Https遇到Cdn问题和挑战 虽然HTTPS提供服务器身份验证以及用户和网站2之间的安全通信,但CDN可实现高效的内容交付。两者都在当今的Web服务中发挥着重要作用。但是,我们发现这两种技术无法无缝协同工作。 图1描绘了一个概念性视图,说明采用CDN如何通过HTTPS显着改变安全的Web浏览。在图1a中,当用户通过HTTPS访问网站(Alice)时,用户的浏览器(Bob)首先向Alice打招...
Linux Nginx下SSL证书安装方法及WordPress CDN配置
01-09
一、Nginx安装SSL证书 需要两个配置文件 (温馨提示:安装证书前请先备份您需要修改的服务器配置文件) 1_root_bundle.crt; 2_domainname.com.key。 注:这三个证书文件都在文件夹for Nginx.zip中,例:1_root_bundle...
阿里云 CDN HTTPS 最佳实践系列——动态证书(一)
zhoushuntian的博客
11-14 3463
背景 了解阿里云 CDN 架构的朋友应该知道,阿里云 CDN 7层的接入组件是 Tengine,我们知道 Tengine 原生是支持 SSL 的,只需要在配置文件中配置证书和私钥即可。在 CDN HTTPS 产品化以前,要开通 HTTPS 的域名需要把证书私钥给我们,我们在 Tengine 静态配置中配置,然后再同步到所有 CDN 边缘节点,显然这种方式在越来越多的域名开通 HTTPS 后,
CDN 常见问题CDN HTTPS配置及常见问题
weixin_34236869的博客
03-06 3925
CDN提供了HTTPS的加密传输方式保证在客户端访问CDN的L1节点的链路上对传输数据进行加密避免被恶意查看和篡改。客户通过将自行向证书CA机构申请的SSL证书上传CDN上,CDN会完成对所有的L1节点的配置同步保证后续所有的L1节点支持HTTPS方式访问。那么在配置CDN的HTTPS协议时有哪些是需要特别注意的呢?本文就阐述HTTPS配置需要注意的内容...
使用cloudflare后的ssl证书问题
liguojia1987的博客
05-21 9450
1 不加密 2 您的网站访问者和Cloudflare之间有加密连接,但是从Cloudflare到您的服务器没有加密。即半程加密。优点在于:你的网站不需要SSL证书,用户也能实现SSL加密访问。确保你的服务器没有ssl证书,否则使用该模式会导致不断重定向的问题。 3 全程加密,即从你的网站CDN服务器再到用户,全程都是SSL加密的。优点在于:只要你的服务器有SSL证书(不管是自签名证书还是购买的SSL),就可以实现SSL加密访问。 4 全程加密,它与Full SSL的区别在于你的服务器必须是安装了那些已经受
使用SSL证书网站使用CDN时会有哪些问题(二)
qq_30683393的博客
05-02 1185
概观 CDN是一种分布式基础架构,可以有效地向最终用户提供与Web相关的内容。最初,CDN服务用于减少用户访问网站的延迟,并减轻网站原始服务器的负担。最近,CDN提供商还为网站提供新的安全服务,例如DDoS保护和Web应用防火墙(WAF)。 CDN通常由遍布全球的大量代理服务器组成。如果网站使用CDN服务,则CDN中的代理服务器的子集将通过pull或push方法复制该网站的内容。当用户访问该网站时...
cdn加速与ssl加速
套路猿的博客
04-14 9067
cdnCDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。 简单的来说,就是把原服务器上数据复制到其他服务器上,用户访问时,那台服务器近访问到的就是那台服务器上的数据。CDN加速优点是成本低,速度快。适合访问量比较大的网站 比如:将原服务器的图片统一放到又拍云(cdn
强制清理CDN(DNS)缓存方法
热门推荐
weixin_42787326的博客
02-18 2万+
强制清理CDN(DNS)缓存方法/步骤 1.打开命令对话框:开始--cmd--确定 2.在CMD命令操作框上输入清空DNS缓存的命令,命令为:ipconfig/flushdns ,然后回车即可清除DNS缓存。   当我们电脑无法上网,或者DNS出错的时候都可以尝试下清除DNS缓存试试。另外还可以在以上命令框中, 输入ipconfig /displaydns这个命令,来查看一下本机已经缓存...
七牛云域名DV SSL证书申请流程以及CDN融合加速配置
aa158722的博客
09-21 314
从2017年起,苹果ios以及微信小程序都陆续要求请求连接request地址是使用HTTPS协议的。所以在项目开发阶段就要考虑解决https的问题,同时这也是为项目实际安全所考虑。最近我也是在折腾项目的https认证,学习到了很多,就写一下实际操作中遇到的问题和要注意的一些地方。 名词解释 https:http超文本传输协议是使用明文传输的,而https则为http+TLS/SSL,是具...
政府与金融行业网站为何必须安装SSL证书
weixin_33774308的博客
01-12 314
在了解SSL证书对于政府与金融行业网站的重要性之前,我们先来了解一下SSL证书是什么?根据百度百科上的解释,SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。服务器部署了 SSL 证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密...
如何使用Firebase创建有服务器的网站
06-10
使用Firebase创建有服务器的网站,需要遵循以下步骤: ... 2. 在Firebase控制台中选择...9. 使用自定义域名或SSL证书配置网站 10. 启用网站CDN缓存以提高性能 以上是大致的步骤,具体操作请参考Firebase官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值