概述
本文介绍了 HTTPS 相对 HTTP 协议的优势以及 EdgeOne 节点上支持部署的证书类型和加密算法。
HTTPS 介绍
HTTPS 是在 HTTP 的基础上,通过 SSL 协议构建了身份认证和传输加密的方法,SSL 协议需通过 HTTPS 证书来验证服务器的身份,为客户端浏览器和服务器之间构建可信的加密传输通道。相比 HTTP 传输,HTTPS 具有一下优势:
防劫持、防篡改、防监听:HTTPS 协议可对用户与服务端间的数据交互进行加密,从而实现传输数据的防劫持、防篡改、防监听。
增加网站可信度:用户通过 HTTPS 访问至网站并通过证书验证网站的可信身份时,在浏览器内将增加安全的绿色标识,来提升网站的可信度,避免用户访问至钓鱼网站。
提升网站的搜索排名:搜索引擎将优先收录已支持 HTTPS 协议的可信网站,网站支持 HTTPS 协议访问后,有利于提高搜索引擎的排名。
EdgeOne 支持的 HTTPS 证书能力
功能名称 | 功能介绍 |
边缘 HTTPS 证书可支持让用户在访问当前域名时,可通过 HTTPS 与 EdgeOne 边缘节点安全通信。当前 EdgeOne 已支持通过以下方式配置边缘 HTTPS 证书。 腾讯云 SSL 证书:如果您当前已经拥有域名证书,可将上传至腾讯云 SSL 控制台的证书部署至 EdgeOne 边缘节点上。最多支持同时部署一本 RSA、ECC、SM2 证书到 EdgeOne 节点中。 申请免费证书:如果您当前还未购买 SSL 证书,可通过 EdgeOne 自动完成免费证书申请、部署以及续签,减少运维工作量,当前申请的免费证书是来源于 Let‘s Encrypt 的 RSA 证书。 | |
边缘双向认证则是指在通信过程中,客户端和服务器都需要向对方证明自己的身份。这通常用于高安全要求的场景,如企业内部网络或金融交易。EdgeOne 可支持在边缘节点内启用双向认证,在访问中要求客户端携带可信任的客户端证书进行验证,进一步加强通信的安全性。 | |
强制 HTTPS 访问可将客户端 HTTP 请求通过301/302重定向至 HTTPS,最终以 HTTPS 访问 EdgeOne。以确保所有客户端都是以 HTTPS 向 EdgeOne 节点发起请求,保障通信的安全性。 | |
HSTS(HTTP Strict-Transport-Security)是国际互联网工程组织 IETE 推行的 Web 安全协议,用来通知浏览器使用更安全的 HTTPS 访问该站点。若您需要增强网站的安全性,防止恶意攻击者通过中间人攻击窃取用户敏感信息;或需要遵循数据隐私保护法规,保护用户的隐私信息;或需要提高网站的信誉度,增强用户对网站的信任感,均可以配置 HSTS 来提高网站的安全性和信誉度。 | |
当您的网站开启 HTTPS 访问后,EdgeOne 默认为您的站点支持了兼容性更高多种 SSL/TLS 版本访问,以适配不同用户终端的访问环境,正常情况下,您无需修改该配置。如果您的网站安全性要求较高,需要禁止用户通过安全较低的 SSL/TLS 版本访问,您可以通过修改此配置来自定义所使用的 SSL/TLS 版本。 | |
OCSP(Online Certificate Status Protocol)是用来检验证书合法性和有效性的在线查询协议,由数字证书颁发机构 CA(Certificate Authority)提供。当用户每次通过 HTTPS 访问网站的时候,浏览器会通过 OCSP 查询验证网站的证书是否有效。 启用 OCSP 装订后,OCSP 查询的工作将由 EdgeOne 服务器完成,且 EdgeOne 可将查询结果缓存到服务器中。当客户端与 EdgeOne TLS 握手时,EdgeOne 直接响应客户端 OCSP 信息和证书,供客户端验证,无需再由客户端向 CA 发送查询请求,极大地提高了 TLS 握手效率,节省用户验证时间,优化 HTTPS 速度。 |