源站证书校验
在请求经 EdgeOne 边缘节点回源时,如果回源使用的是 HTTPS 协议请求,默认情况下,EdgeOne 不会对源站证书的有效性进行合法性校验。如果您当前对该环节的握手具有更高安全性的要求,EdgeOne 可支持配置源站证书校验,通过自定义校验方式来验证源站证书的合法性,以防止例如回源流量劫持等恶意攻击。
说明:
仅基础版以上的套餐支持使用该功能。
支持的校验方式
校验方式 | 校验内容 |
不校验 | 不校验源站响应证书的合法性。 |
使用指定受信任 CA 证书校验 | 校验源站证书是否由该 CA 签发以及证书有效期,如果源站证书不是由该 CA 签发,或者证书不在有效期内,则回源握手不通过,响应 525/555。 |
操作步骤
场景:指定使用受信任的 CA 证书校验源站证书
例如:当前域名
example.com 的源站都是通过某个 CA 签发的证书,为了避免回源流量被劫持,仅信任由该 CA 机构签发的源站证书。1. 登录 边缘安全加速平台 EO 控制台,通过站点列表,选择需配置的站点,进入站点管理二级菜单。
2. 在左侧导航栏中,单击域名服务 > 域名管理。在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击编辑,弹出 HTTPS 证书配置。
3. 找到 源站证书校验 卡片,点击配置。选择校验方式为使用指定受信任 CA 证书校验,勾选信任的 CA 证书。
说明:
4. 单击保存,即可下发配置,部署完成后配置即可生效。
5. 直接使用 curl 命令发起访问测试,查看请求是否正常响应,如果请求响应正常且响应头
EO-Cache-Status 为 MISS 或者 RefreshHit,则代表当前请求已正常回源。如果源站配置的证书不是由该 CA 签发,则回源握手失败,可以看到 525/555 状态码。curl https://www.example.com/ -v