在學習ssl解除安裝之前,我們應該了解一些基本知識。
網際網路迅猛發展的背後隱藏著許多安全隱患,對此,各種加密技術應運而生。ssl
然而,隨著ssl通訊量規模的日益龐大,其弊端也日益顯現,其首要便是ssl延遲。在https中,完成tcp握手協議後還需完成ssl握手,因此,https比http耗時;同時,握手之後,伺服器須使用額外的處理能力來對傳輸的資料進行加密和解密,於是ssl的聯機加密運算不可避免會消耗伺服器的處理效能,直觀地說,一台伺服器啟用ssl加密之後,其效能往往只達到原來的20%,其餘80%的計算效能都消耗在了ssl的加密運算方面。儘管tls1.3(ssl協議的標準化版本)的發布使得系統在進行握手時只需進行一次往返,減少了耗時,並在其他方面進一步提高了效能,但在更高流量的情況下,ssl/tls仍舊可能會增加延遲。
ssl解除安裝技術解決了上述問題:通過將https應用訪問過程中的ssl加密解密過程轉移到特定的積體電路(asic)處理器上,在滿足高併發訪問需求的同時,為程式或**釋放出處理能力,從而減少伺服器端的效能壓力,最終提公升客戶端的訪問響應速度。
這一過程有時也稱為負載均衡。
但由於ssl對應用層資料進行了加密,使得負載均衡器這樣的裝置無法提取使用者會話中的cookies、url、路徑等資訊。因此,通過ssl解除安裝技術,一方面全面卸除了系統負荷,另一方面也將ssl加密後的資料融入處理器。
使用ssl解除安裝功能的應用交付裝置充當負載均衡器的角色。
將專用的ssl應用交付裝置(採用專用的ssl解除安裝硬體晶元)置於網路伺服器的前端,把所有傳入的客戶端請求引導到伺服器,在伺服器之間平衡或分配客戶端的負載,使客戶端只需要和ssl應用交付裝置互動即可。這樣,任何伺服器的承載能力都不會過載;同時,客戶端發起的https連線,經過ssl應用交付裝置處理後,變成明文的http資料,即可被web服務程式(例如iis、apache)直接讀取,無需特殊的驅動程式來傳送和接受網路資料,從而提高伺服器效能。
這一過程中,當客戶端嘗試連線到**時,首先會連線到ssl應用交付裝置——該連線是https;而交付裝置和應用伺服器之間的連線是http。其中,ssl應用交付裝置充當了ssl終結器的角色,因此這一過程又稱為ssl終結。
下面是ssl終結的視覺化圖:
除了通過http傳送流量和請求外,ssl橋接在概念上與ssl終結非常相似,它會在將所有內容傳送到應用程式伺服器之前,進行重新加密。
下面是ssl橋接的視覺化圖:
1.提高伺服器效能:通過解除安裝應用伺服器上額外的ssl加密解密任務,使伺服器專注於它們的主要功能,降低伺服器負荷。
2.降低管理員操作複雜性:無需管理和配置多個伺服器的證書,只需要在前端交付裝置上實現即可。
3.根據使用的ssl應用交付裝置(負載均衡器)的不同,它還可以幫助進行https檢查、反向**、cookie永續性、流量管理等等:在某些情況下,ssl解除安裝可以幫助進行流量檢查。與加密一樣重要的是,它有乙個主要缺點:攻擊者可以隱藏在加密流量中。由於這一點,出現了很多引人注目的漏洞,比如,magecart就使用https流量來混淆從各種支付頁面中竊取的pci。
因此,一旦你的組織達到一定的規模,檢查https流量就很有必要了。而實現這一點的最好方法之一就是進行ssl解除安裝處理,無論是ssl終結還是ssl橋接,都允許你執行流量檢查,在處理高併發流量時可以提供極大的幫助。
坦率地說,這一切都取決於您**型別及流量。
像espn或cnn這樣大型的****應當非常適合使用負載均衡器,因為它們都能處理大量的流量;另一方面,如果你只是為當地一家麵包店運營乙個**,那麼讓你的伺服器去處理所有的事情就可以了——尤其是tls 1.3進行了改進的情況下。
如你需配置負載均衡,可參閱阿里雲負載均衡(slb)ssl證書配置指南。
什麼是SSL解除安裝?如何工作
為幫助抵消ssl tls帶來的額外負擔,您可以啟動單獨的專用積體電路 asic 處理器,這些處理器僅限於執行ssl tls所需的功能,即握手和加密 解密。這可以釋放預期應用程式或 的處理能力。簡而言之,這就是ssl解除安裝。有時也稱為負載平衡。負載平衡器是任何有助於改善工作負載在多種資源之間的分配的...
什麼是SSL?什麼是SET?
ssl 的英文全稱是 secure sockets layer 中文名為 安全套接層協議層 它是網景 netscape 公司提出的基於 web 應用的安全協議。ssl 協議指定了一種在應用程式協議 如 http telenet nmtp 和 ftp 等 和 tcp ip 協議之間提供資料安全性分層的...
SSL是如何工作的
金鑰密碼系統介紹 這篇文章向大家闡述了netscape公司是如何使用rsa的公用金鑰密碼系統來實現網際網路安全的。netscape的安全套接層的實現就利用了這篇文章中所討論的技術。rsa的公用金鑰密碼系統廣泛地應用於計算機工業的認證和加密方面。netscape得到rsa資料安全公司的許可可以使用公用...