在國內(nèi),網(wǎng)站和APP遭到黑客劫持、內(nèi)容丟失或被篡改的情形頻發(fā),HTTPS自然也成為了多數(shù)互聯(lián)網(wǎng)服務(wù)商的必備,但HTTPS在滿足了基本安全需要的同時(shí),也為各個(gè)網(wǎng)站和APP的運(yùn)營方帶來了新的煩惱。對此,金山云推出的全鏈路HTTPS安全方案,幫助多個(gè)行業(yè)客戶解除了采用HTTPS服務(wù)的種種麻煩,為客戶帶來了更優(yōu)質(zhì)的選擇。
提供特色服務(wù),解決業(yè)界難題
金山云全鏈路HTTPS安全方案在安全、成本、性能上發(fā)力,根據(jù)客戶實(shí)際需求,幫助解決多種難題。例如,首先,在通常情況下,如果網(wǎng)站或APP采用HTTPS服務(wù),就必須同時(shí)采用SSL建立安全通道,OpenSSL是SSL協(xié)議的一種開源實(shí)現(xiàn),負(fù)責(zé)HTTPS的數(shù)據(jù)和傳輸加密等。金山云研發(fā)團(tuán)隊(duì)針對OpenSSL進(jìn)行深度開發(fā),同時(shí)基于OpenSSL進(jìn)行keyless研發(fā)和算法研究,使OpenSSL進(jìn)一步優(yōu)化HTTPS的性能表現(xiàn),從而為客戶提供OpenSSL定制化服務(wù)??蛻粼诓捎肏TTPS服務(wù)時(shí),終端可能出現(xiàn)無法連接等故障,OpenSSL定制化服務(wù)基于HTTPS狀態(tài)碼監(jiān)控和握手監(jiān)控,可生成監(jiān)控日志用于分析故障原因,實(shí)現(xiàn)有效追蹤故障源頭,對服務(wù)端做到可監(jiān)可管可運(yùn)維。
金山云能夠針對OpenSSL進(jìn)行定制化開發(fā)
第二,HTTPS通信過程需要CA或多個(gè)認(rèn)證機(jī)構(gòu)頒發(fā)的證書文件,形成一層層證書鏈,各層都發(fā)給客戶端,客戶端才能認(rèn)出證書,完成HTTPS通信。由于網(wǎng)站和APP的經(jīng)營者對證書鏈缺乏感知,因此在上傳證書的過程中,常常會(huì)因?yàn)檎`操作引起證書不全,導(dǎo)致握手失敗。金山云可在客戶服務(wù)器端將所有機(jī)構(gòu)的證書文件填全,客戶只需上傳自己的證書,其它的金山云均會(huì)補(bǔ)齊,減輕客戶因證書不全帶來的各種負(fù)擔(dān)。
HTTPS證書鏈?zhǔn)疽鈭D(最頂部的是CA“根證書”,除了根證書,其它證書都要依靠上一級的證書,來證明自己。例如,CA信任A和B,然后A信任A1和A2,B信任B1和B2,從而構(gòu)成了證書鏈。)
第三,CDN客戶經(jīng)常會(huì)遇到CDN命中率這樣的難題:當(dāng)用戶的訪問請求被解析到CDN節(jié)點(diǎn)時(shí),往往不能每次都命中緩存,CDN上如果沒有用戶需要的緩存內(nèi)容,只能回到源站獲得,再發(fā)送給用戶,影響CDN的加速效果。金山云全鏈路HTTPS方案對多個(gè)使用場景進(jìn)行深入調(diào)研后,推出了精確適配機(jī)制,提高命中率,有效降低HTTPS回源次數(shù),從而提高訪問速度。
金山云精確適配機(jī)制示意圖(金山云根據(jù)用戶請求和端口類別(如443和80端口),精確適配客戶的緩存需求)
對客戶來說,無論采用HTTP還是HTTPS,雖然均可回源,但回源極易出現(xiàn)存儲(chǔ)錯(cuò)誤,增加帶寬費(fèi)用,提高使用成本。金山云的精確適配機(jī)制可對回源進(jìn)行定制,按照服務(wù)端識(shí)別客戶請求,客戶可根據(jù)自身情況選擇是否回源以及回源方式,實(shí)現(xiàn)不同類型的服務(wù)端對應(yīng)不同類型的緩存服務(wù),降低客戶成本,改善訪問體驗(yàn)。
第四,很多廠商采用靜態(tài)證書架構(gòu),證書和私鑰放在邊緣節(jié)點(diǎn)上,泄漏風(fēng)險(xiǎn)極大。金山云全鏈路HTTPS安全方案采用動(dòng)態(tài)證書架構(gòu),它具有深度加密、減少首包時(shí)間,提升用戶訪問體驗(yàn)等特點(diǎn)。金山云在部署的每個(gè)節(jié)點(diǎn)加載動(dòng)態(tài)證書,按需動(dòng)態(tài)加載,快速全網(wǎng)生效。在SSL握手成功后,用戶可快速、安全地訪問網(wǎng)站或APP。
金融、游戲、視頻行業(yè)客戶的選擇
金山云全鏈路HTTPS安全方案目前在金融、游戲、視頻行業(yè)擁有眾多客戶。例如,在金融行業(yè),某客戶是某銀行下屬公司,由于用戶需要通過訪問銀行網(wǎng)站辦理各項(xiàng)業(yè)務(wù),因此客戶對服務(wù)的安全性要求極高,在選擇HTTPS服務(wù)時(shí),首先就需要為用戶帳戶信息保密,防止黑客竊聽。針對此需求,金山云為客戶提供網(wǎng)站HTTPS服務(wù),在保證訪問速度的基礎(chǔ)上,用戶訪問客戶網(wǎng)站時(shí),能夠保障用戶隱私不被竊聽。
在游戲行業(yè),金山云為多家業(yè)界知名公司提供下載防劫持服務(wù)。以某知名游戲代理商為例,APP被黑客劫持,被修改渠道號,從而影響代理費(fèi)是他們最為擔(dān)心的。金山云幫助該客戶解決了這些潛在問題,防止客戶的游戲安裝包內(nèi)容被黑客篡改、將資源鏈接到其它渠道上,避免引起游戲下載量減少,影響客戶收入。
在視頻行業(yè),對各式APP來說,不同操作系統(tǒng)有著不同的需求。根據(jù)蘋果的強(qiáng)制要求,iOS系統(tǒng)中的APP全部要采用HTTPS服務(wù),但APP的訪問速度等是個(gè)問題。而Android系統(tǒng)并無這樣的強(qiáng)制要求,這就導(dǎo)致被劫持、體驗(yàn)差的風(fēng)險(xiǎn)比蘋果要高得多。針對這些,金山云幫助視頻行業(yè)位居TOP3的客戶實(shí)現(xiàn)全鏈路HTTPS,改善了iOS和Android終端的安全性和用戶體驗(yàn),有效防止了上述問題的出現(xiàn)。
全鏈路HTTPS安全方案體現(xiàn)了金山云以客戶為本的服務(wù)理念,金山云將想客戶之所想,持續(xù)為客戶帶來新的驚喜。
京公網(wǎng)安備 11010502049343號