【满屏干货】阿里云CDN HTTPS最佳实践汇总

(一)动态证书

了解阿里云 CDN 架构的朋友应该知道,阿里云 CDN 7层的接入组件是 Tengine,我们知道 Tengine 原生是支持 SSL 的,只需要在配置文件中配置证书和私钥即可。在 CDN HTTPS 产品化以前,要开通 HTTPS 的域名需要把证书私钥给我们,我们在 Tengine 静态配置中配置,然后再同步到所有 CDN 边缘节点,显然这种方式在越来越多的域名开通 HTTPS 后,Tengine 静态配置文件会越来越大,难以管理,同时也会导致 Tengine reload 变得很慢,这样配置生效的时间就很糟糕,还有私钥安全等等一系列问题。所以 CDN HTTPS 产品化时就必须采用动态证书的方式,目前CDN HTTPS 动态证书配置之后1分钟内生效,极大的提高了证书管理效率和用户体验。本文将介绍动态配置的同步方式、架构与实现...... 点击查看文章详情

(二)HTTP/2

阿里云 CDN 在2016年7月份开始全网支持 HTTP/2,是国内第一家全网支持 HTTP/2 的 CDN 提供商。针对一些 HTTP/2 有问题的域名需要关闭 HTTP/2、一些没有问题的域名不能关闭 HTTP/2的情况,解法是针对域名级别来配置 HTTP/2 开启或者关闭。本文将为大家介绍如何配置管理后台......点击查看文章详情

(三)动态密钥套件

在 ssllabs 中可以测试域名的 SSL 安全等级,影响这个测试等级的最主要因素就是密钥套件,在接入阿里云 CDN 的所有域名中,绝大多数域名评级都是 A,但是有少数域名为了兼容一些老浏览器或者客户端,需要支持比如 RC4 这样的加密算法,这样就导致评级为 B。但用户体验更重要,这就需要为这些对密钥套件有特殊需求的域名特殊配置密钥套件。本文深入介绍动态密钥的原理和实现......点击查看文章详情

(四)OCSP Stapling

浏览器或者客户端为了知道当前使用的证书是否已经被吊销,通常采用OCSP(Online Certificate Status Protocol,在线证书状态协议)这种方式。OCSP 是一个在线证书查询接口,它建立一个可实时响应的机制,让浏览器可以实时查询每一张证书的有效性,解决了 CRL 的实时性问题,但是 OCSP 也引入了一个性能问题,某些客户端会在 SSL 握手时去实时查询 OCSP 接口,并在得到结果前会阻塞后续流程,这对性能影响很大,严重影响用户体验。OCSP Stapling 就是为了解决 OCSP 性能问题而生的,本文将介绍其原理和实现方法......点击查看文章详情

(五)TLS record size

TLS 协议由两层协议组成:TLS 握手协议和 TLS 记录协议(TLS Record),TLS Record 协议在 TLS 握手协议之下。所有的 TLS 上层数据(包含 TLS 握手协议消息以及更上层的应用协议数据)都由 TLS Record 来封装和传输。一个消息会在 TLS Record 协议层被分段,然后对每个分段分别压缩(已废弃)和加密,最后加上 TLS Record 协议头再通过网络层发送出去。分段至关重要,也就是 TLS Record Size 大小多少合适非常重要。本文将介绍动态调整TLS Record Size 和配置实现......点击查看文章详情

(六)客户端证书认证

对于一些特殊企业客户,在涉及到资金、股票等等金融业务交易时,考虑到其业务的安全性,他们在原有业务可能已经用了客户端证书认证,对于这类客户在接入 CDN 时,必然也要支持客户端证书认证。本文将介绍客户端证书认证的原理和实现......点击查看文章详情

对于阿里云CDN产品,您还想了解哪方面的内容,可以在下方留言回复~我们会尽全力解答您的疑惑,谢谢!

上一篇:怎样在eclipse里安装Hibernate / JBoss 工具【最新】


下一篇:xcode编译报错unknown error -1=ffffffffffffffff Command /bin/sh failed with exit code 1