【网络安全】SSL(一):为什么需要 Keyless SSL?

已于 2024-11-17 19:41:12 修改
阅读量3.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络安全新手快速入门(附漏洞挖掘案例) 文章标签: ssl 网络协议
于 2024-11-17 19:09:25 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/143836593

未经许可,不得转载。

文章目录

背景

随着网站和应用程序向云端迁移,使用 HTTPS(SSL/TLS)加密流量已成为行业标准。然而,传统的 HTTPS 配置要求服务器持有网站的私钥,这在云计算环境中引发了一系列安全性和合规性问题。一旦云服务器遭到攻击,私钥泄露可能带来不可估量的后果。

此外,许多网站依赖内容分发网络(CDN)来防御分布式拒绝服务(DDoS)攻击并提升性能。然而,传统 HTTPS 配置需要在 CDN 节点上终止 SSL/TLS 连接,这意味着 CDN 必须掌握网站的私钥。这违背了一些组织的合规性要求,将私钥交付给 CDN 运营商显然不是理想的解决方案。

基于这些挑战和其他种种问题,Keyless SSL 应运而生。

以下是 Cloudflare 推出 Keyless SSL 背后的故事。

正文

CloudFlare是一家以工程驱动为核心的公司。以下故事是我们引以为傲的一部分,因为它充分体现了我们的精神:面对问题,我们找到了创新的解决方案。具体技术细节稍后奉上,但在此之前,欢迎来到“无硬件世界”。

2012年秋天,旧金山。

故事始于2012年秋天的一个星期六清晨,正好是两年前。我被手机铃声吵醒,对方是一位自称是全球最大银行之一的首席信息安全官(CISO)的男子。

“我通过一位记者拿到了你的号码,”他开门见山地说,“我们遇到了一个紧急事件。能否请你和你的一些团队成员在周一早上赶到纽约?我们非常需要你们的建议。”

当时我们还是一家小型初创公司,当然会毫不犹豫地放下手头一切,飞越全国去看看能否提供帮助。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全SSL(二):Keyless SSL技术细节
等风来
11-17 4234
如果新的请求携带的会话 ID 是之前见过的,我们会在可以从任何数据中心的所有服务器访问的中央存储中查找它。在最糟糕的情况下,例如如果你从个城市的手机访问网站,然后飞到另个城市,你的客户端只需要重新建立个新会话。Keyless SSL次重大的进步,它允许网站所有者使用 CloudFlare 这样的服务加速和保护他们的网站,同时保留对私钥的控制。为了确保 Keyless SSL 的安全性,从 CloudFlare 边缘到密钥服务器的连接也需要是安全的。为了恢复连接,服务器需要有之前建立的会话密钥。
阿里云环境中TLS/SSL握手失败的场景分析
阿里云云栖号
07-10 5123
TLS/SSL握手是个相对复杂的过程,在阿里云环境中结合产品,安全等特性,可能会让TLS/SSL握手过程的不定性更多。本文来总结下各种握手失败的场景。 次TLS/SSL握手的过程 本文不详细介绍TLS/SSL基础知识,相关介绍可以参考文章。下面3张图描述了3种TLS/SSL握手的全过程。 服务器验证的完全握手 (Full Handshake with Mutual Authenticat...
闲话 CDN
weixin_46837673的博客
04-08 270
开头 这篇文章通过 FCC 上海线下和成都微信的分享,整理成文字稿顺便凑下更新,考虑到吃瓜读者们不知道都了解到啥程度,以及我科普作者的身份(自己定的),我决定从入门到放弃的介绍下,大致涉及: 什么是 CDN 为什么我们要用 CDN 访问原理 架构 应用与踩坑 现实世界的 CDN 由于每个地方都事无巨细讲起来非常费劲,费劲就容易跳票,而且会导致篇幅过长,所以其实都是科普向的,如果想要深入,在...
HTTPS 性能优化 -- 基于协议和配置的优化
weixin_30617695的博客
04-21 239
基于协议和配置的优化 1 前言 上文讲到 HTTPS 对用户访问速度的影响。 本文就为大家介绍 HTTPS 在访问速度,计算性能,安全等方面基于协议和配置的优化。 2 HTTPS 访问速度优化 2.1 Tcp fast open HTTPS 和 HTTP 使用 TCP 协议进行传输,也就意味着必须通过三次握手建立 TCP 连接, 但个 RTT 的时间内只传输个 syn 包是...
Keyless小结
一只不知疲倦的学习猿
12-11 546
总结:未使用KeyLessSSL连接和使用Keyless的连接区别在主密钥的获取部分,解释如下 未使用keyLess: Client>>>>>>>>客户端随机数、秘钥套件、Client Hello等>>>>>>>>>>>>>>>Server Client<<<<<<<<从套件中选择的加密算法、公钥、服务器端随机数&l
Keyless SSL: The Nitty Gritty Technical Details
陈海峰的博客
04-19 1883
We announced Keyless SSL yesterday to an overwhelmingly positive response. We read through the comments on this blog, Reddit, Hacker News, and people seem interested in knowing more and getting de
互联网企业安全高级指南读书笔记之网络安全
不急不躁
04-17 2513
网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征多,系统负载会马上飙升,远到不了系统的标称负载就会出现丢包和误报的上升。不能跟基础架构起扩展的安全解决方案最终都会掣肘 针对 IPS 个打折扣的版本就是利用 DDo...
区块链技术在网络安全中的应用
面对日益复杂的网络威胁和攻击,传统的网络安全方案显露出些弊端,需要更加创新和高效的解决方案。 ### 2.1 当前网络安全面临的问题 网络安全面临着诸多挑战,包括但不限于: - **数据泄露和信息窃取**:黑客...
keyless
wwhhff11
02-11 1301
Keyless了解 SSL加解密分为两个阶段:非对称加解密(预主密钥交换)和对称加解密(数据传输加解密)。SSL的握手过程,实质是先使用非对称加解密算法来交换数据,然后经计算得出相同的对称加解密所需的会话密钥。 常规握手主要流程如下: (1)客户端发送client hello,携带支持的SSL握手版本和加密套件、client random随机数等信息。 (2)服务端根据收到的client ...
[CloudFlare] Keyless SSL的技术细节
XuYongjian
05-22 7145
Keyless SSL的技术细节19 Sep 2014 by Nick Sullivan翻译:徐永健我们昨天宣布了Keyless SSL技术,并且得到了非常积极的反馈。我们翻查了博客、Reddit以及Hacker News上面的评论,发现大家似乎想了解更多的信息并且想要获取更深入的技术细节。所以在这篇博客里,我们将从技术细节的角度回答些问题:Keyless SSL是如何设计的、如何工作的以及为什...
帝联的cdn_帝联科技HTTPS加速服务,无缝衔接CDN,让安全无延时
weixin_39789690的博客
12-22 367
[导读]网络传输安全已经引起了不少网络科技企业的重视,越来越多的公司已经开始选择拥抱HTTPS,把信息锁在加密的盒子里。但是,HTTPS协议造成的传输延时成为了不小的困扰。网络传输安全已经引起了不少网络科技企业的重视,越来越多的公司已经开始选择拥抱HTTPS,把信息锁在加密的盒子里。但是,HTTPS协议造成的传输延时成为了不小的困扰。针对这问题,帝联科技在为客户提供站式HTTPS方案的同时,融...
CDN私钥保护与HTTPS加速如何兼得?
weixin_37097605的博客
05-04 640
▌什么是证书/私钥?在数字化的网络世界中,证书是个人或者个实体的有效标识,就像日常生活中的身份证,可以唯的标识个实体,比如网站。而与证书相对应的“私钥”则是证明该...
【HTTPS】交换密钥
opi
04-16 3345
目录 1.原始非对称加密传递 2.专用密钥交换算法 1.原始非对称加密传递 客户端给服务端发送请求; 服务端返回客户端自己的公钥 PuK; 客户端产生本次对话的对称密钥 SK,并用 PuK 进行加密得到 SK_Enc 后传给服务端; 服务端收到 SK_Enc 后用自己的私钥 PrK 解密得到 SK;若成功,则返回客户端 OK,否则终止对话. 接下来,客户端和服务端的对话均用 S...
【大量干货】史上最完整的Tengine HTTPS原理解析、实践与调试
weixin_33801856的博客
05-29 492
摘要: 本文邀请阿里云CDN HTTPS技术专家金九,分享Tengine的些HTTPS实践经验。内容主要有四个方面:HTTPS趋势、HTTPS基础、HTTPS实践、HTTPS调试。 、HTTPS趋势 这章节主要介绍近几年和未来HTTPS的趋势,包括两大浏览器chrome和firefix对HTTPS的态度,以及淘宝天猫和阿里云CDN的HTTPS实践情况。本文邀请阿里云CDN HTTPS技术专家...
cloudflare Keyless方案基本原理
focus on security
02-24 724
cloudflare Keyless方案基本原理 经典的Alice和Bob通信问题 思考??? openssl RSA算法加解密过程: openssl RSA+keyserver加解密过程: openssl DH加密算法加解密过程: openssl DH+keyserver加解密过程: 1)修正openssl库协商处理流程,以支持无私钥交互流程 2)...
篇文章为你深度解析HTTPS 协议
weixin_34246551的博客
03-09 236
、前言 微信小程序如期发布,开发者在接入微信小程序过程中,会遇到以下问题: 小程序要求必须通过 HTTPS 完成与服务端通信,若开发者选择自行搭建 HTTPS 服务,那需要自行 SSL 证书申请、部署,完成 https 服务搭建,效率低流程冗长;且 HTTPS 的 SSL 加解析,对服务器的 CPU 有极大的开销。 其实,不仅仅是小程序,苹果 iOS 平台,Google Android 在 20...
猿学~关于启用 HTTPS 的些经验分享
全栈开发者
06-30 2817
随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS。就在今天,免费提供证书服务的Let's Encrypt项目也正式开放,HTTPS 很快就会成为 WEB 必选项。HTTPS 通过 TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。本文分享些启用 HTTPS 过程中的经验,重点是如何...
无密钥SSL技术探秘
juewuer的博客
11-14 2377
本文翻译来自 Keyless SSL: The Nitty Gritty Technical Details TLS 两个目标 握手协议 TLS术语 RSA握手 消息1 Client Hello 消息2 Server Hello 消息3 Client Key Exchange 瞬时DH握手 消息1 Client Hello 消息2 Server Hello 消息3 Client Key Exchan
关于启用 HTTPS 的些经验分享
王王没想到博客
03-23 1641
随着国内网络环境的持续恶化,各种篡改和劫持层出不穷,越来越多的网站选择了全站 HTTPS。HTTPS 通过 TLS 层和证书机制提供了内容加密、身份认证和数据完整性三大功能,可以有效防止数据被查看或篡改,以及防止中间人冒充。本文分享些启用 HTTPS 过程中的经验,重点是如何与些新出的安全规范配合使用。至于 HTTPS 的部署及优化,之前写过很多,本文不重复了。 理解 Mixed Con
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值